据BleepingComputer网站7月19日消息,未知攻击者正在使用之前未被发现的恶意软件在MacOS设备上部署后门。据悉,ESET研究人员于2022年4月首次发现了这种新型恶意软件,并将其命名为CloudMensis,其主要目的是从受感染的Mac中收集敏感信息。该恶意软件支持数十种命令,包括截图、窃取文件、记录击键等。根据ESET的分析,攻击者于2022年2月4日感染了第一台装有CloudMensis的Mac,感染媒介未知。当部署在Mac上时,CloudMensis可以绕过macOS透明同意和控制(TCC)系统,该系统会提示用户授予应用程序截屏或监视键盘事件的权限,防止应用程序访问敏感的用户数据,并允许用户配置隐私设置适用于他们系统上的应用程序和连接到他们Mac的设备,包括麦克风和相机。CloudMensis使用云存储为了绕过TCC,CloudMensis利用了系统完整性保护(SIP)中的一个CoreFoundation漏洞,该漏洞被追踪为CVE-2020-9934,该漏洞已于两年前被Apple修复。当在运行MacOS10.15.6之前版本的Mac上启用SIP时,CloudMensis将利用一个漏洞导致TCC守护进程(tccd)加载一个它可以写入自身的数据库。如果系统上禁用了SIP,CloudMensis将通过向TCC.db文件添加新规则来授予自己权限。虽然ESET只见过这种恶意软件在野外滥用此漏洞,但此类攻击者并不缺乏绕过TCC的方法,例如利用powerdir漏洞(CVE-2021-30970)、CVE-2021-30713等已发现的漏洞由Microsoft开发,它监视受感染Mac的屏幕,扫描连接的可移动存储设备中的任意文件,并记录击键事件。ESET认为,利用漏洞绕过MacOS隐私保护措施表明攻击者正在积极尝试最大化其攻击活动的成功率。虽然CloudMensis尚未利用0Day漏洞,但还是建议用户使用最新版本的MacOS系统。参考来源:https://www.bleepingcomputer.com/news/security/new-cloudmensis-malware-backdoors-macs-to-steal-victims-data/
