來(lái)自網(wǎng)絡(luò)安全公司 ESET 的研究團(tuán)隊(duì)近日發(fā)現(xiàn)了一種新型 macOS 惡意程序?CloudMensis，一旦 Mac 設(shè)備感染就會(huì)安插后門，用于滲透本地網(wǎng)絡(luò)、記錄鍵盤敲擊、查看文檔和屏幕截圖，竊取重要敏感信息。該惡意軟件甚至可以從已經(jīng)刪除的存儲(chǔ)中恢復(fù)電子郵件、附件和相關(guān)文件。

CloudMensis 惡意軟件會(huì)將這些資料上傳到 pCloud、Yandex Disk 和 Dropbox 這樣的公共云存儲(chǔ)系統(tǒng)，以便于攻擊者后續(xù)使用。ESET 發(fā)現(xiàn)這些上傳的文件會(huì)自動(dòng)按照月份和受害者名稱進(jìn)行命名排序。

安全專家發(fā)現(xiàn)首個(gè)受 CloudMensis 攻擊的 Mac 設(shè)備可以追溯到 2022 年 2 月 4 日，這表明這是針對(duì) Mac 設(shè)備的新型惡意軟件。現(xiàn)階段該惡意軟件的分發(fā)還比較有限，不過(guò)它們的目標(biāo)更加明確。

目前調(diào)查顯示該惡意軟件并未使用零日漏洞，而是使用了此前已經(jīng)曝光的漏洞來(lái)繞過(guò) macOS 保護(hù)。因此 Mac 用戶升級(jí)到最新版本就可以抵御該惡意軟件的侵?jǐn)_。

一旦設(shè)備感染 CloudMensis，就會(huì)嘗試執(zhí)行代碼獲得系統(tǒng)管理員權(quán)限。接下來(lái)該惡意軟件就會(huì)進(jìn)入第二階段，CloudMensis 會(huì)運(yùn)行大約 39 條命令，收集感染設(shè)備上的數(shù)據(jù)。

研究者 Marc-Etienne Leveille 表示：“目前我們不知道 CloudMensis 在初期是如何傳播的，也不知道它的主要攻擊目標(biāo)。不過(guò)從代碼質(zhì)量和缺少模糊操作表明，這位惡意軟件的開(kāi)發(fā)者并不熟悉 Mac 的開(kāi)發(fā)也不是資深的 Mac 開(kāi)發(fā)者”。