新しいmacOSマルウェアはあなたをスパイするためにいくつかのトリックを使用します

July 21, 2022
にニュースインターネットとセキュリティ

研究者たちは、これまでに見たことのないmacOSスパイウェアを野生で発見しました。
これは最先端のマルウェアではなく、目的を達成するために人々の不十分なセキュリティ衛生に依存しています。
それでも、Appleの今後のロックダウンモードなどの包括的なセキュリティメカニズムは、時間の必要性であるとセキュリティ専門家は主張しています。

ハッカーの概念、MacBookを介してインターネットを攻撃するハッカー — krisanapongdetraphiphat/ゲッティイメージズ

セキュリティ研究者は、macOSに組み込まれている保護を回避するために、すでにパッチが適用されている脆弱性を悪用する新しいmacOSスパイウェアを発見しました。その発見は、オペレーティングシステムの更新についていくことの重要性を浮き彫りにしています。

これまで知られていなかったスパイウェアであるCloudMensisと呼ばれる ESETの研究者が発見は、pCloud、Dropboxなどのパブリッククラウドストレージサービスを排他的に使用して、攻撃者と通信したり、ファイルを盗み出したりします。心配なことに、それはファイルを盗むためにmacOSの組み込みの保護をバイパスするために多数の脆弱性を悪用します。

「その機能は、そのオペレーターの意図が、文書、キーストローク、および画面キャプチャを盗み出すことによって被害者のMacから情報を収集することであることを明確に示しています」とESETの研究者は書いています。 Marc-EtienneM.Léveillé. 「macOSの緩和策を回避するための脆弱性の使用は、マルウェアオペレーターがスパイ活動の成功を最大化しようと積極的に試みていることを示しています。」

永続的なスパイウェア

ESETの研究者は、2022年4月に新しいマルウェアを最初に発見し、古いIntelと新しいAppleのシリコンベースのコンピューターの両方を攻撃する可能性があることに気づきました。

おそらく、スパイウェアの最も印象的な側面は、被害者のMacに配備された後、CloudMensisが遠ざかることがないことです。 macOS Transparency Consent and Control（TCC）をバイパスする目的で、パッチが適用されていないAppleの脆弱性を悪用するシステム。

TCCは、画面キャプチャを取得したり、キーボードイベントを監視したりする権限をアプリに付与するようにユーザーに促すように設計されています。 macOSユーザーがプライバシー設定を構成できるようにすることで、アプリが機密ユーザーデータにアクセスするのをブロックしますマイクやカメラ。

ルールは、によって保護されたデータベース内に保存されますシステム整合性保護（SIP）、これにより、TCCデーモンのみがデータベースを変更できるようになります。

彼らの分析に基づいて、研究者はCloudMensisがTCCをバイパスし、許可を回避するためにいくつかの技術を使用していると述べていますプロンプトが表示され、画面、リムーバブルストレージ、キーボードなど、コンピューターの機密領域に妨げられることなくアクセスできます。

SIPが無効になっているコンピューターでは、スパイウェアはTCCデータベースに新しいルールを追加することにより、機密性の高いデバイスにアクセスするためのアクセス許可を自分自身に付与するだけです。ただし、SIPがアクティブなコンピューターでは、CloudMensisは既知の脆弱性を悪用して、TCCをだまし、スパイウェアが書き込むことができるデータベースをロードします。

自身を守る

「通常、Mac製品を購入するときは、マルウェアやサイバー脅威から完全に安全であると想定していますが、常にそうであるとは限りません。」ジョージ・ガーチョウ、最高セキュリティ責任者、 Sumo Logic、電子メール交換でLifewireに語った。

Gerchow氏は、最近では多くの人が自宅やパソコンを使用したハイブリッド環境で作業しているため、状況はさらに懸念されていると説明しました。「これにより、個人データと企業データが組み合わされ、ハッカーにとって脆弱で望ましいデータのプールが作成されます」とGerchow氏は述べています。

匿名のハッカーは、情報を盗み、コンピューターやシステムに感染するためのアクセスを妨害します。インターネット犯罪の概念。 — RapeepongPuttakumwong/ゲッティイメージズ

研究者たちは、少なくともスパイウェアがTCCをバイパスするのを防ぐために、最新のMacを実行することを提案していますが、Gerchow 個人用デバイスと企業データが近接しているため、包括的な監視と保護を使用する必要があると考えていますソフトウェア。

「企業で頻繁に使用されるエンドポイント保護は、監視および保護するために[人]が個別にインストールできます高度なマルウェアや進化するゼロデイ脅威からのネットワークまたはクラウドベースのシステム上のエントリポイント」 Gerchow。「データをログに記録することで、ユーザーはネットワーク内の新しい、潜在的に未知のトラフィックと実行可能ファイルを検出できます。」

やり過ぎのように聞こえるかもしれませんが、研究者でさえ、スパイウェアから人々を保護するために包括的な保護を使用することを嫌がっていません。ロックダウンモード Appleは、iOS、iPadOS、およびmacOSで導入する予定です。これは、攻撃者が頻繁に悪用して人々をスパイする機能を簡単に無効にするオプションを人々に提供することを目的としています。

「最先端のマルウェアではありませんが、CloudMensisは、一部のユーザーがこの追加の防御[新しいロックダウンモード]を有効にしたい理由の1つである可能性があります」と研究者は述べています。「ユーザーエクスペリエンスの流動性を犠牲にしてエントリポイントを無効にすることは、攻撃対象領域を減らすための合理的な方法のように思えます。」