據(jù)Bleeping Computer網(wǎng)站7月19日消息，未知身份的攻擊者正在使用以前未被檢測(cè)到的惡意軟件對(duì) MacOS設(shè)備部署后門。

據(jù)悉，ESET研究人員于 2022 年 4 月首次發(fā)現(xiàn)這種新惡意軟件，并將其命名為 CloudMensis，其主要目的是從受感染的 Mac 中收集敏感信息。該惡意軟件支持?jǐn)?shù)十種命令，包括屏幕截圖、竊取文檔、記錄鍵盤信息等。

根據(jù)ESET的分析，攻擊者在 2022 年 2 月 4 日用 CloudMensis 感染了首臺(tái) Mac，感染媒介未知。在 Mac 上部署后，CloudMensis 可以繞過 macOS Transparency Consent and Control （TCC） 系統(tǒng)，該系統(tǒng)會(huì)提示用戶授予應(yīng)用程序截屏或監(jiān)控鍵盤事件的權(quán)限，阻止應(yīng)用程序訪問敏感的用戶數(shù)據(jù)，讓用戶能夠?yàn)榘惭b在其系統(tǒng)上的應(yīng)用程序和連接到其 Mac 的設(shè)備（包括麥克風(fēng)和攝像頭）配置隱私設(shè)置。

CloudMensis 使用云存儲(chǔ)

為了繞過TCC，CloudMensis利用了系統(tǒng)完整性保護(hù)（SIP）中的CoreFoundation 漏洞，該漏洞被追蹤為CVE-2020–9934，已被蘋果在兩年前修復(fù)。當(dāng)運(yùn)行MacOS10.15.6 系統(tǒng)版本之前的Mac設(shè)備啟用SIP時(shí)， CloudMensis將利用漏洞使 TCC 守護(hù)程序 （tccd） 加載其自身可以寫入的數(shù)據(jù)庫(kù)。如果在系統(tǒng)上禁用 SIP，CloudMensis 將通過向 TCC.db 文件添加新規(guī)則來授予自身權(quán)限。

雖然 ESET 只看到這種惡意軟件在野外濫用此漏洞，但諸如此類攻擊者不乏繞過 TCC 的方法，比如利用由微軟發(fā)現(xiàn)的 powerdir 漏洞 （ CVE-2021-30970 ）、CVE- 2021-30713等漏洞，從而監(jiān)控受感染Mac的屏幕、掃描連接的可移動(dòng)存儲(chǔ)設(shè)備查找任意文件，并記錄鍵盤事件。

ESET認(rèn)為，利用漏洞繞過MacOS隱私保護(hù)措施的攻擊行為表明，攻擊者正在積極嘗試最大限度地提高其攻擊活動(dòng)的成功率，雖然CloudMensis尚未利用0Day漏洞進(jìn)行攻擊，因此建議用戶使用最新版的MacOS系統(tǒng)。

參考來源：https://www.bleepingcomputer.com/news/security/new-cloudmensis-malware-backdoors-macs-to-steal-victims-data/