CloudMensis macOS malware
A CloudMensis nevű, korábban ismeretlen macOS-backdoor-t dokumentumok, billentyűleütések és képernyőképek kiszűrésével gyűjt információkat az áldozatoktól. A „backdoor”-t az ESET kutatói fedezték fel és most hozták nyilvánosságra. A kutatók nem tudják, hogyan terjesztették kezdetben a kártevőt, vagy kik a célpontok, de a korlátozott mértékű terjesztése – február és április között mindössze 51 áldozattal – arra utal, hogy egy nagyon célzott művelet részeként használható fel. A rosszindulatú program nem tűnik fejlettnek, de aggasztó, hogy erőteljes kémkedési képességei és az Apple különféle sebezhetőségeinek kihasználására képes. Még nem lehet pontosan meghatározni a CloudMensis terjesztési módját, a kódvégrehajtás és a rendszergazdai jogosultságok megszerzése után a rosszindulatú programok kétlépcsős folyamatot követnek. Az első fokozatú rosszindulatú program letölti a második fokozatú kártevőt úgy, hogy lekéri azt egy felhőalapú tárolási szolgáltatótól. Ez a szakasz magában foglalja a removeRegistration nevű folyamatot is, amely a jelek szerint sandbox-exploitokat indít el a Safariból, és visszaél négy korábban feltárt hibával, amelyeket 2017-ben javítottak ki. A letöltés után a rosszindulatú program második szakasza dokumentumok, képernyőképek, e-mail mellékletek és egyéb adatok kiszűrésével folytatódik. A rosszindulatú program emellett kizárólag a nyilvános felhőalapú tárolási szolgáltatásokat használja fel az üzemeltetőivel való kommunikációhoz.