Novi zlonamjerni softver za macOS koristi nekoliko trikova da vas špijunira
- Istraživači su u divljini uočili dosad neviđeni špijunski softver za macOS.
- To nije najnapredniji zlonamjerni softver i oslanja se na lošu sigurnosnu higijenu ljudi kako bi postigao svoje ciljeve.
- Ipak, sveobuhvatni sigurnosni mehanizmi, kao što je Appleov nadolazeći Lockdown način rada, potreba su vremena, tvrde stručnjaci za sigurnost.
krisanapong detraphiphat / Getty Images
Sigurnosni istraživači uočili su novi špijunski softver za macOS koji iskorištava već zakrpane ranjivosti kako bi zaobišao zaštite ugrađene u macOS. Njegovo otkriće naglašava važnost praćenja ažuriranja operativnog sustava.
Nazvan CloudMensis, dosad nepoznati špijunski softver, uočili istraživači u ESET-u, isključivo koristi usluge javne pohrane u oblaku kao što su pCloud, Dropbox i drugi za komunikaciju s napadačima i za eksfiltraciju datoteka. Zabrinjavajuće, iskorištava mnoštvo ranjivosti kako bi zaobišao ugrađene zaštite macOS-a i ukrao vaše datoteke.
"Njegove mogućnosti jasno pokazuju da je namjera njegovih operatera prikupljanje informacija sa žrtvinih Mac računala eksfiltracijom dokumenata, pritisaka na tipke i snimaka zaslona", napisao je ESET-ov istraživač
Trajni špijunski softver
ESET-ovi istraživači su prvi put uočili novi zlonamjerni softver u travnju 2022. i shvatili da bi mogao napasti i starija Intelova i novija Appleova računala temeljena na siliciju.
Možda je najupečatljiviji aspekt špijunskog softvera taj da nakon postavljanja na žrtvin Mac, CloudMensis ne bježi od iskorištavanje nezakrpanih Appleovih ranjivosti s namjerom zaobilaženja macOS Transparency Consent and Control (TCC) sustav.
TCC je osmišljen kako bi od korisnika zatražio da aplikacijama da dozvolu za snimanje zaslona ili praćenje događaja na tipkovnici. Blokira aplikacijama pristup osjetljivim korisničkim podacima omogućujući korisnicima macOS-a da konfiguriraju postavke privatnosti za aplikacije instalirane na njihovim sustavima i uređajima povezanima s njihovim Mac računalima, uključujući mikrofone i kamere.
Pravila se spremaju unutar baze podataka zaštićene od strane Zaštita integriteta sustava (SIP), koji osigurava da samo TCC demon može modificirati bazu podataka.
Na temelju svoje analize, istraživači navode da CloudMensis koristi nekoliko tehnika za zaobilaženje TCC-a i izbjegavanje bilo kakvog dopuštenja upite, dobivanje nesmetanog pristupa osjetljivim područjima računala, kao što su zaslon, prijenosna pohrana i tipkovnica.
Na računalima s onemogućenim SIP-om, špijunski softver će si jednostavno dodijeliti dozvole za pristup osjetljivim uređajima dodavanjem novih pravila u TCC bazu podataka. Međutim, na računalima na kojima je SIP aktivan, CloudMensis će iskoristiti poznate ranjivosti kako bi prevario TCC da učita bazu podataka u koju špijunski softver može pisati.
Zaštiti se
"Kada kupujemo Mac proizvod, obično pretpostavljamo da je potpuno siguran od zlonamjernog softvera i cyber prijetnji, ali to nije uvijek slučaj," George Gerchow, glavni službenik za sigurnost, Sumo logika, rekao je Lifewireu u razmjeni e-pošte.
Gerchow je objasnio da je situacija još više zabrinjavajuća ovih dana jer mnogi ljudi rade od kuće ili u hibridnom okruženju koristeći osobna računala. "Ovo kombinira osobne podatke s podacima poduzeća, stvarajući skup ranjivih i poželjnih podataka za hakere", istaknuo je Gerchow.
Rapeepong Puttakumwong / Getty Images
Dok istraživači predlažu pokretanje ažuriranog Maca kako bi barem spriječili špijunski softver da zaobiđe TCC, Gerchow vjeruje da blizina osobnih uređaja i poslovnih podataka poziva za korištenje sveobuhvatnog nadzora i zaštite softver.
"Zaštitu krajnje točke, koju poduzeća često koriste, [ljudi] mogu instalirati pojedinačno za nadzor i zaštitu ulazne točke na mrežama ili sustavima temeljenim na oblaku, od sofisticiranog zlonamjernog softvera i prijetnji nultog dana u razvoju", predložio Gerchow. "Zapisivanjem podataka korisnici mogu otkriti novi, potencijalno nepoznati promet i izvršne datoteke unutar svoje mreže."
Možda zvuči kao pretjerano, ali čak ni istraživači nisu neskloni upotrebi sveobuhvatne zaštite za zaštitu ljudi od špijunskog softvera, pozivajući se na Način zaključavanja Apple je spreman za uvođenje na iOS, iPadOS i macOS. Namijenjen je ljudima dati opciju da jednostavno onemoguće značajke koje napadači često iskorištavaju za špijuniranje ljudi.
"Iako nije najnapredniji zlonamjerni softver, CloudMensis bi mogao biti jedan od razloga zašto bi neki korisnici željeli omogućiti ovu dodatnu obranu [novi Lockdown mod]", istaknuli su istraživači. "Onemogućavanje ulaznih točaka, nauštrb manje fluidnog korisničkog iskustva, zvuči kao razuman način za smanjenje površine napada."