Ny macOS-malware bruger flere tricks til at spionere på dig

July 21, 2022
INyheder Internetsikkerhed

Forskere har set en aldrig set før macOS spyware i naturen.
Det er ikke den mest avancerede malware og er afhængig af folks dårlige sikkerhedshygiejne for at nå sine mål.
Alligevel er omfattende sikkerhedsmekanismer, såsom Apples kommende Lockdown-tilstand, tidens behov, hævder sikkerhedseksperter.

Hacker Concept, Hacker, der angriber internettet via MacBook — krisanapong detraphiphat / Getty Images

Sikkerhedsforskere har opdaget en ny macOS-spyware, der udnytter allerede lappede sårbarheder til at omgå beskyttelser indbygget i macOS. Dets opdagelse fremhæver vigtigheden af at følge med i operativsystemopdateringer.

Kaldt CloudMensis, det hidtil ukendte spyware, set af forskere ved ESET, bruger udelukkende offentlige cloud-lagringstjenester såsom pCloud, Dropbox og andre til at kommunikere med angriberne og til at eksfiltrere filer. Bekymrende nok udnytter den et væld af sårbarheder til at omgå macOS’ indbyggede beskyttelser for at stjæle dine filer.

"Dens egenskaber viser tydeligt, at dets operatørers hensigt er at indsamle information fra ofrenes Mac'er ved at eksfiltrere dokumenter, tastetryk og skærmbilleder," skrev ESET-forsker

Marc-Etienne M.Léveillé. "Brug af sårbarheder til at omgå macOS-reduktioner viser, at malware-operatørerne aktivt forsøger at maksimere succesen med deres spionageoperationer."

Vedvarende spyware

ESET-forskere opdagede først den nye malware i april 2022 og indså, at den kunne angribe både de ældre Intel og de nyere Apple silicium-baserede computere.

Måske det mest slående aspekt af spyware er, at CloudMensis ikke viger tilbage efter at være blevet installeret på et offers Mac. udnytter ikke-patchede Apple-sårbarheder med den hensigt at omgå macOS Transparency Consent and Control (TCC) system.

TCC er designet til at bede brugeren om at give apps tilladelse til at tage skærmbilleder eller overvåge tastaturbegivenheder. Det blokerer apps fra at få adgang til følsomme brugerdata ved at gøre det muligt for macOS-brugere at konfigurere privatlivsindstillinger for apps installeret på deres systemer og enheder, der er tilsluttet deres Mac, inklusive mikrofoner og kameraer.

Reglerne er gemt i en database beskyttet af Systemintegritetsbeskyttelse (SIP), som sikrer, at kun TCC-dæmonen kan ændre databasen.

Baseret på deres analyse fastslår forskerne, at CloudMensis bruger et par teknikker til at omgå TCC og undgå enhver tilladelse prompter, får uhindret adgang til de følsomme områder på computeren, såsom skærmen, flytbart lager og tastaturet.

På computere med SIP deaktiveret vil spywaren blot give sig selv tilladelse til at få adgang til de følsomme enheder ved at tilføje nye regler til TCC-databasen. På computere, hvor SIP er aktiv, vil CloudMensis dog udnytte kendte sårbarheder til at narre TCC til at indlæse en database, som spywaren kan skrive til.

Beskyt dig selv

"Vi antager typisk, når vi køber et Mac-produkt, at det er fuldstændig sikkert mod malware og cybertrusler, men det er ikke altid tilfældet." George Gerchow, Chief Security Officer, Sumo Logik, fortalte Lifewire i en e-mailudveksling.

Gerchow forklarede, at situationen er endnu mere bekymrende i disse dage med mange mennesker, der arbejder hjemmefra eller i et hybridmiljø, der bruger personlige computere. "Dette kombinerer personlige data med virksomhedsdata, hvilket skaber en pulje af sårbare og ønskværdige data for hackere," bemærkede Gerchow.

Anonym hacker bryder adgangen til at stjæle information og inficere computere og systemer. Internet kriminalitet koncept. — Rapeepong Puttakumwong / Getty Images

Mens forskerne foreslår at køre en opdateret Mac for i det mindste at forhindre spyware i at omgå TCC, Gerchow mener, at nærheden af personlige enheder og virksomhedsdata kræver brug af omfattende overvågning og beskyttelse software.

"Endepunktsbeskyttelse, der ofte bruges af virksomheder, kan installeres individuelt af [mennesker] for at overvåge og beskytte indgangspunkter på netværk eller skybaserede systemer fra sofistikeret malware og udviklende zero-day-trusler," foreslog Gerchow. "Ved at logge data kan brugere opdage ny, potentielt ukendt trafik og eksekverbare filer på deres netværk."

Det lyder måske som overdrevet, men selv forskerne er ikke afvisende over for at bruge omfattende beskyttelse til at beskytte folk mod spyware, med henvisning til Låsetilstand Apple er klar til at introducere på iOS, iPadOS og macOS. Det er beregnet til at give folk mulighed for nemt at deaktivere funktioner, som angribere ofte udnytter til at spionere på folk.

"Selvom det ikke er den mest avancerede malware, kan CloudMensis være en af grundene til, at nogle brugere ønsker at aktivere dette ekstra forsvar [den nye Lockdown-tilstand]," bemærkede forskerne. "At deaktivere indgangspunkter på bekostning af en mindre flydende brugeroplevelse lyder som en rimelig måde at reducere angrebsoverfladen på."