新型 CloudMensis 间谍软件正在威胁 Mac 用户

关键要点

• CloudMensis 是一种新型间谍软件，利用公共云存储服务进行攻击。
• 它通过利用代码执行和管理权限获取初始负载，并检索第二阶段恶意软件。
• 该软件还利用多种漏洞来逃避检测并获取更高权限。
• 研究显示，CloudMensis 的开发者可能对 Mac 开发不太熟悉，但仍投入大量资源。

近期，有报告指出 Mac 系统正受到一种名为 CloudMensis 的新型间谍软件的攻击。该间谍软件利用 Dropbox、Yandex Disk和 pCloud 等公共云存储服务进行命令接收和文件窃取，相关消息来源于 的一篇报道。

根据 ESET 研究人员的分析，CloudMensis 通过利用代码执行和管理权限来部署初始负载，从而检索和执行在 pCloud上托管的第二阶段恶意软件。该报告还揭示，第一阶段负载删除了 Safari沙盒逃逸和权限升级的漏洞，从而绕过检测。此外，另一项被修补的漏洞（CVE-2020-9934）也被用来逃脱透明度、同意和控制安全框架。

研究人员发现，用户在一月份创建了 pCloud 账户，而随后一个月便开始出现安全隐患，并在三月份达到高峰。M.Lveill指出：”代码的整体质量及缺乏混淆表明开发者可能对 Mac 开发不太熟悉，技术水平也不高。然而，很多资源投入到使 CloudMensis成为一个强大的间谍工具上，给潜在目标带来了威胁。”

表格：CloudMensis 特征

特征 | 描述
—|—
攻击方式 | 利用公共云存储服务进行命令接收与文件窃取
漏洞利用 | 代码执行、管理权限、漏洞逃逸
首次检测时间 | 一月份创建账户，二月份开始攻击
代码质量 | 开发者对 Mac 开发不太熟悉

相关链接：

请务必保持警惕，确保你的设备安全，定期更新软件，使用强密码以防止潜在的攻击。