Nauja „MacOS“ kenkėjiška programa naudoja keletą gudrybių, kad galėtų jus šnipinėti

July 21, 2022
ĮŽinios Interneto Apsauga

Tyrėjai gamtoje aptiko dar nematytą „macOS“ šnipinėjimo programą.
Tai nėra pati pažangiausia kenkėjiška programa ir, norint pasiekti savo tikslus, priklauso nuo prastos žmonių saugos higienos.
Vis dėlto saugumo ekspertai tvirtina, kad visapusiški saugumo mechanizmai, tokie kaip būsimas Apple Lockdown režimas, yra valanda poreikis.

„Hacker Concept“, įsilaužėlis atakuoja internetą per „MacBook“. — krisananapong detraphiphat / Getty Images

Saugumo tyrėjai pastebėjo naują „MacOS“ šnipinėjimo programą, kuri išnaudoja jau pataisytas spragas, kad galėtų apeiti „macOS“ integruotą apsaugą. Jo atradimas pabrėžia, kaip svarbu neatsilikti nuo operacinės sistemos naujinimų.

Pavadinta CloudMensis, anksčiau nežinoma šnipinėjimo programa, pastebėjo ESET mokslininkai, naudoja tik viešąsias debesies saugyklos paslaugas, pvz., „pCloud“, „Dropbox“ ir kitas, kad galėtų bendrauti su užpuolikais ir išfiltruoti failus. Nerimą kelia tai, kad ji išnaudoja daugybę pažeidžiamumų, kad apeitų „macOS“ integruotą apsaugą ir pavogtų jūsų failus.

„Jo galimybės aiškiai rodo, kad jos operatorių tikslas yra rinkti informaciją iš aukų Mac kompiuterių, išfiltruojant dokumentus, klavišų paspaudimus ir ekrano nuotraukas“, – rašė ESET tyrėjas.

Marc-Etienne M.Léveillé. „Pažeidžiamumų naudojimas siekiant apeiti „MacOS“ mažinimo priemones rodo, kad kenkėjiškų programų operatoriai aktyviai stengiasi maksimaliai padidinti savo šnipinėjimo operacijų sėkmę.

Nuolatinė šnipinėjimo programa

ESET mokslininkai pirmą kartą pastebėjo naują kenkėjišką programą 2022 m. balandžio mėn. ir suprato, kad ji gali atakuoti tiek senesnius „Intel“, tiek naujesnius „Apple“ silicio pagrindu veikiančius kompiuterius.

Bene ryškiausias šnipinėjimo programų aspektas yra tai, kad įdiegus aukos „Mac“, „CloudMensis“ nevengia nepataisytų „Apple“ spragų išnaudojimas, siekiant apeiti „macOS“ skaidrumo sutikimą ir valdymą (TCC) sistema.

TCC sukurtas taip, kad paskatintų vartotoją suteikti programoms leidimą daryti ekrano nuotraukas arba stebėti klaviatūros įvykius. Jis blokuoja programoms prieigą prie neskelbtinų naudotojų duomenų, leisdamas „MacOS“ vartotojams konfigūruoti privatumo nustatymus programoms, įdiegtoms jų sistemose ir įrenginiuose, prijungtuose prie jų „Mac“, įskaitant mikrofonus ir fotoaparatai.

Taisyklės išsaugomos duomenų bazėje, kurią saugo Sistemos vientisumo apsauga (SIP), kuri užtikrina, kad tik TCC demonas gali keisti duomenų bazę.

Remdamiesi savo analize, mokslininkai teigia, kad „CloudMensis“ naudoja keletą metodų, kad apeitų TCC ir išvengtų bet kokio leidimo. raginimus, netrukdomą prieigą prie jautrių kompiuterio sričių, tokių kaip ekranas, keičiama saugykla ir klaviatūra.

Kompiuteriuose, kuriuose SIP išjungtas, šnipinėjimo programa tiesiog suteiks sau leidimus pasiekti jautrius įrenginius, įtraukdama naujas taisykles į TCC duomenų bazę. Tačiau kompiuteriuose, kuriuose aktyvus SIP, „CloudMensis“ išnaudos žinomas spragas, kad apgautų TCC ir įkeltų duomenų bazę, į kurią gali rašyti šnipinėjimo programos.

Apsisaugok

„Paprastai manome, kad įsigydami „Mac“ produktą, jis yra visiškai saugus nuo kenkėjiškų programų ir kibernetinių grėsmių, tačiau taip būna ne visada. Džordžas Gerchovas, vyriausiasis apsaugos pareigūnas, Sumo logika, sakė Lifewire apsikeitimo el. paštu metu.

Gerchow paaiškino, kad šiais laikais padėtis kelia dar didesnį nerimą, nes daugelis žmonių dirba namuose arba hibridinėje aplinkoje, naudodami asmeninius kompiuterius. „Tai sujungia asmens duomenis su įmonės duomenimis, sukuriant pažeidžiamų ir pageidaujamų įsilaužėlių duomenų telkinį“, - pažymėjo Gerchow.

Anoniminis įsilaužėlis pažeidžia prieigą, kad pavogtų informaciją ir užkrėstų kompiuterius bei sistemas. Interneto nusikalstamumo koncepcija. — Rapeepong Puttakumwong / Getty Images

Nors mokslininkai siūlo paleisti naujausią „Mac“, kad bent jau neleistų šnipinėjimo programoms apeiti TCC, Gerchow mano, kad asmeninių įrenginių ir įmonės duomenų artumas reikalauja visapusiško stebėjimo ir apsaugos programinė įranga.

„Galinių taškų apsaugą, kurią dažnai naudoja įmonės, [žmonės] gali įdiegti atskirai, kad galėtų stebėti ir apsaugoti įvesties taškai tinkluose arba debesimis pagrįstos sistemos nuo sudėtingų kenkėjiškų programų ir besivystančių nulinės dienos grėsmių. Gerchovas. „Registruodami duomenis vartotojai gali aptikti naują, potencialiai nežinomą srautą ir vykdomuosius failus savo tinkle.

Tai gali atrodyti kaip perdėta, tačiau net tyrėjai nebijo naudoti visapusiškų apsaugos priemonių, kad apsaugotų žmones nuo šnipinėjimo programų, nurodydami Užrakinimo režimas „Apple“ ketina pristatyti „iOS“, „iPadOS“ ir „MacOS“. Ji skirta žmonėms suteikti galimybę lengvai išjungti funkcijas, kurias užpuolikai dažnai naudoja šnipinėdami žmones.

„Nors „CloudMensis“ nėra pati pažangiausia kenkėjiška programa, ji gali būti viena iš priežasčių, kodėl kai kurie vartotojai norėtų įjungti šią papildomą apsaugą [naują užrakinimo režimą]“, – pažymėjo tyrėjai. „Įėjimo taškų išjungimas dėl mažiau sklandaus naudotojo patirties atrodo kaip pagrįstas būdas sumažinti atakos paviršių.