Uusi macOS-haittaohjelma käyttää useita temppuja vakoilemaan sinua

July 21, 2022
SisäänUutiset Internet Turvallisuus

Tutkijat ovat havainneet luonnossa ennennäkemättömän macOS-vakoiluohjelman.
Se ei ole edistyksellisin haittaohjelma, ja se luottaa ihmisten huonoon turvallisuushygieniaan saavuttaakseen tavoitteensa.
Silti kattavat turvamekanismit, kuten Applen tuleva Lockdown-tila, ovat hetken tarve, turvallisuusasiantuntijat väittävät.

Hakkerikonsepti, hakkeri hyökkää Internetiin MacBookin kautta — krisananapong detraphiphat / Getty Images

Tietoturvatutkijat ovat havainneet uuden macOS-vakoiluohjelman, joka hyödyntää jo korjattuja haavoittuvuuksia kiertääkseen macOS: ään rakennettuja suojauksia. Sen löytö korostaa käyttöjärjestelmän päivitysten pysymisen tärkeyttä.

CloudMensis, aiemmin tuntematon vakoiluohjelma, ESETin tutkijat havaitsivat, käyttää yksinomaan julkisia pilvitallennuspalveluita, kuten pCloudia, Dropboxia ja muita, kommunikoidakseen hyökkääjien kanssa ja poistaakseen tiedostoja. Huolestuttavaa on, että se hyödyntää lukuisia haavoittuvuuksia ohittaakseen macOS: n sisäänrakennetut suojaukset tiedostosi varastamiseksi.

"Sen ominaisuudet osoittavat selvästi, että sen operaattoreiden tarkoitus on kerätä tietoja uhrien Maceistä suodattamalla asiakirjoja, näppäinpainalluksia ja kuvakaappauksia", kirjoitti ESET-tutkija.

Marc-Etienne M.Léveillé. "Haavoittuvuuksien käyttö macOS-vähennysten kiertämiseen osoittaa, että haittaohjelmaoperaattorit yrittävät aktiivisesti maksimoida vakoilutoimintojensa onnistumisen."

Pysyvät vakoiluohjelmat

ESET-tutkijat huomasivat uuden haittaohjelman ensimmäisen kerran huhtikuussa 2022 ja huomasivat, että se voisi hyökätä sekä vanhempiin Intel- että uudempiin Applen piipohjaisiin tietokoneisiin.

Ehkä silmiinpistävin näkökohta vakoiluohjelmissa on, että sen jälkeen, kun CloudMensis on otettu käyttöön uhrin Macissa, se ei karkaa korjaamattomien Applen haavoittuvuuksien hyödyntäminen tarkoituksenaan ohittaa macOS Transparency Consent and Control (TCC) järjestelmä.

TCC on suunniteltu kehottamaan käyttäjää myöntämään sovelluksille lupa ottaa kuvakaappauksia tai seurata näppäimistötapahtumia. Se estää sovelluksia pääsemästä arkaluonteisiin käyttäjätietoihin sallimalla macOS-käyttäjien määrittää tietosuoja-asetuksia sovelluksille, jotka on asennettu heidän järjestelmiinsä ja Mac-tietokoneisiin liitettyihin laitteisiin, mukaan lukien mikrofonit ja kamerat.

Säännöt tallennetaan tietokantaan, joka on suojattu System Integrity Protection (SIP), joka varmistaa, että vain TCC-demoni voi muokata tietokantaa.

Analyysinsa perusteella tutkijat toteavat, että CloudMensis käyttää paria tekniikkaa ohittaakseen TCC: n ja välttääkseen kaikki luvat kehotteita, jolloin pääset esteettömästi tietokoneen herkkiin osiin, kuten näyttöön, irrotettavaan tallennustilaan ja näppäimistöön.

Tietokoneissa, joissa SIP on poistettu käytöstä, vakoiluohjelmat yksinkertaisesti myöntävät itselleen luvan käyttää herkkiä laitteita lisäämällä uusia sääntöjä TCC-tietokantaan. Kuitenkin tietokoneissa, joissa SIP on aktiivinen, CloudMensis käyttää tunnettuja haavoittuvuuksia huijatakseen TCC: tä lataamaan tietokannan, johon vakoiluohjelmat voivat kirjoittaa.

Suojele itseäsi

"Yleensä oletamme, että ostaessamme Mac-tuotteen se on täysin suojattu haittaohjelmilta ja kyberuhkilta, mutta näin ei aina ole." George Gerchow, turvallisuuspäällikkö, Sumo logiikka, kertoi Lifewirelle sähköpostinvaihdossa.

Gerchow selitti, että tilanne on nykyään vielä huolestuttavampi, koska monet ihmiset työskentelevät kotona tai hybridiympäristössä henkilökohtaisten tietokoneiden avulla. "Tämä yhdistää henkilötiedot yritystietoihin, luoden haavoittuvia ja haluttuja tietoja hakkereille", Gerchow huomautti.

Nimetön hakkeri katkaisee pääsyn varastaakseen tietoja ja saastuttaa tietokoneita ja järjestelmiä. Internet-rikollisuuden käsite. — Rapeepong Puttakumwong / Getty Images

Vaikka tutkijat ehdottavat, että käytät ajan tasalla olevaa Macia, jotta vakoiluohjelmat estetään ainakin ohittamasta TCC: tä, Gerchow uskoo, että henkilökohtaisten laitteiden ja yritystietojen läheisyys edellyttää kattavan valvonnan ja suojauksen käyttöä ohjelmisto.

"Yritysten usein käyttämä päätepistesuojaus voidaan [ihmiset] asentaa yksitellen valvomaan ja suojaamaan verkkojen tai pilvipohjaisten järjestelmien sisääntulopisteet kehittyneiltä haittaohjelmilta ja kehittyviltä nollapäivän uhilta", ehdotti. Gerchow. "Kirjaamalla tietoja käyttäjät voivat havaita uutta, mahdollisesti tuntematonta liikennettä ja suoritettavat tiedostot verkossaan."

Se saattaa kuulostaa liioitellulta, mutta tutkijatkaan eivät ole vastenmielisiä kattavien suojausten käyttämiselle ihmisten suojelemiseksi vakoiluohjelmia vastaan. Lukitustila Apple esittelee iOS-, iPadOS- ja macOS-käyttöjärjestelmissä. Sen tarkoituksena on antaa ihmisille mahdollisuus poistaa helposti käytöstä ominaisuuksia, joita hyökkääjät usein käyttävät hyväkseen vakoillessaan ihmisiä.

"Vaikka CloudMensis ei ole edistyksellisin haittaohjelma, se voi olla yksi syy, miksi jotkut käyttäjät haluavat ottaa tämän lisäsuojan käyttöön [uuden lukitustilan]", tutkijat huomauttivat. "Sisääntulopisteiden poistaminen käytöstä sujuvan käyttökokemuksen kustannuksella kuulostaa järkevältä tavalta vähentää hyökkäyspintaa."