Apple_MacBook_headpic.jpg

未知的威胁参与者正在使用以前未被检测到的恶意软件对 macOS 设备进行后门,并在一系列针对性很强的攻击中泄露信息。

ESET 研究人员于 2022 年 4 月首次发现这种新恶意软件,并将其命名为 CloudMensis,因为它使用 pCloud、Yandex Disk 和 Dropbox 公共云存储服务进行命令和控制 (C2) 通信。

CloudMensis 的能力清楚地表明,其运营商的主要目标是通过各种方式从受感染的 Mac 中收集敏感信息。

这些包括屏幕截图、文档和击键的泄露,以及从可移动存储中存储的电子邮件、附件和文件的列表。

该恶意软件支持数十种命令,允许其操作员在受感染的 Mac 上执行一长串操作,包括:

  • 更改 CloudMensis 配置中的值:云存储提供商和身份验证令牌、被视为有趣的文件扩展名、云存储的轮询频率等。
  • 列出正在运行的进程
  • 开始截屏
  • 列出电子邮件和附件
  • 列出可移动存储中的文件
  • 运行 shell 命令并将输出上传到云存储
  • 下载并执行任意文件

根据 ESET 的分析,攻击者在 2022 年 2 月 4 日用 CloudMensis 感染了第一台 Mac。从那时起,他们只是偶尔使用后门来攻击和破坏其他 Mac,这暗示了该活动的高度针对性。

感染媒介也是未知的,攻击者的 Objective-C 编码能力也表明他们不熟悉 macOS 平台。

“我们仍然不知道 CloudMensis 最初是如何分布的以及目标是谁,”ESET 研究员 Marc-Etienne Léveillé 说。

“代码的一般质量和没有混淆表明作者可能对 Mac 开发不是很熟悉,也不是那么先进。

“尽管如此,我们还是投入了大量资源使 CloudMensis 成为强大的间谍工具并对潜在目标构成威胁。”

CloudMensis 使用云存储

CloudMensis 使用云存储 (ESET)

绕过隐私保护

在 Mac 上部署后,CloudMensis 还可以绕过 macOS Transparency Consent and Control (TCC) 系统,该系统会提示用户授予应用程序截屏或监控键盘事件的权限。

TCC 旨在阻止 macOS 应用程序访问敏感的用户数据,让 macOS 用户能够为安装在其系统上的应用程序和连接到其 Mac 的设备(包括麦克风和摄像头)配置隐私设置。

每个用户创建的规则都保存在受 系统完整性保护 (SIP) 保护的 Mac 上的数据库中,这确保只有 TCC 守护程序可以修改它。

如果用户在系统上禁用 SIP,CloudMensis 将通过向 TCC.db 文件添加新规则来授予自己权限。

但是,“如果启用了 SIP,但 Mac 运行的是 10.15.6 之前的任何版本的 macOS Catalina,CloudMensis 将利用漏洞使 TCC 守护程序 (tccd) 加载 CloudMensis 可以写入的数据库。”

在这种情况下,它使用的漏洞是一个 CoreFoundation 漏洞,被跟踪为 CVE-2020-9934,并在 两年前由 Apple 修补。

虽然 ESET 只看到这种恶意软件在野外滥用此漏洞,但攻击者不乏绕过 TCC 的方法,因为苹果最近也解决了导致类似影响的错误。

例如,他们可以利用 Microsoft 发现的 powerdir 漏洞 ( CVE-2021-30970 )、Time Machine 挂载 ( CVE-2020-9771 )、环境变量中毒 ( CVE-2020-9934 ) 或捆绑包结束问题 ( CVE- 2021-30713)。

通过绕过 TCC,恶意软件可以访问受感染的 Mac 屏幕,可以扫描连接的可移动存储以查找感兴趣的文档,并记录键盘事件。

ESET 总结说:“利用漏洞来解决 macOS 缓解措施表明,恶意软件运营商正在积极尝试最大限度地提高其间谍活动的成功率。”

“与此同时,在我们的研究过程中,没有发现该小组使用了未公开的漏洞(零日漏洞)。因此,建议运行最新的 Mac,至少可以避免绕过缓解措施。”

Tags: none

我有个想法