ESETは7月19日(米国時間)、セキュリティブログI see what you did there: A look at the CloudMensis macOS spyware|WeLiveSecurity」において、Macを標的としたスパイウェアが観測されていると伝えた。CloudMensisと名付けられたそのスパイウェアは、ペイロードやファイルの流出にpCloud、Yandex Disk、Dropboxなどのパブリッククラウドストレージサービスを利用していることがわかっている。

  • I see what you did there: A look at the CloudMensis macOS spyware|WeLiveSecurity

    I see what you did there: A look at the CloudMensis macOS spyware|WeLiveSecurity

CloudMensisは2022年4月に観測された、Objective-Cで開発されたMacユーザーを狙ったマルウェア。IntelとAppleの両方のシリコンアーキテクチャを攻撃できるよう設計されている。CloudMensisはコード実行と管理者権限を悪用し、pCloudにあるペイロードをダウンロードして起動する。このペイロードは同じくpCloudにホストされているマルウェアをフェッチして実行するために利用される。次にダウンロードされたマルウェアによってMacにあるドキュメントやスクリーンショット、電子メールの添付ファイルなどがクラウドストレージサービスに流出する仕組みとなっている。

CloudMensisにはセキュリティフレームワーク、TCC(Transparency, Consent, and Control)を回避する機能が実装されている。TCCを回避することでユーザーの同意を得ることなく、ドキュメント、ダウンロード、デスクトップ、iCloud Drive、ネットワークボリューム内のファイルにアクセスすることが可能となっている。この機能は2020年に発見された脆弱性(CVE-2020–9934)が悪用されているとのことだ。

ESETによると、CloudMensisはMacユーザーにとって脅威だが、コードの一般的な品質と難読化の欠如から作成者がMacの開発にあまり精通しておらず、それほど高度でない可能性があると指摘。また、この脅威にゼロディ脆弱性は使われていないことが報告されている。したがって、このマルウェアに対しては、最新のMacにアップデートすることで対策できるとされている。