Jaunā MacOS ļaunprātīgā programmatūra izmanto vairākus trikus, lai jūs izspiegotu

July 21, 2022
InJaunumi Internets Un Drošība

Pētnieki savvaļā ir pamanījuši vēl neredzētu MacOS spiegprogrammatūru.
Tā nav vismodernākā ļaunprogrammatūra, un, lai sasniegtu savus mērķus, tā ir atkarīga no cilvēku sliktās drošības higiēnas.
Tomēr visaptveroši drošības mehānismi, piemēram, Apple gaidāmais bloķēšanas režīms, ir nepieciešami, apgalvo drošības eksperti.

Hacker koncepcija, hakeris uzbrūk internetam, izmantojot MacBook — krisananapong detraphiphat / Getty Images

Drošības pētnieki ir atklājuši jaunu macOS spiegprogrammatūru, kas izmanto jau salabotās ievainojamības, lai apietu MacOS iebūvēto aizsardzību. Tās atklājums uzsver, cik svarīgi ir sekot līdzi operētājsistēmas atjauninājumiem.

Nosaukta par CloudMensis, iepriekš nezināmu spiegprogrammatūru, pamanīja ESET pētnieki, izmanto tikai publiskos mākoņa krātuves pakalpojumus, piemēram, pCloud, Dropbox un citus, lai sazinātos ar uzbrucējiem un izfiltrētu failus. Satraucoši, tas izmanto daudz ievainojamību, lai apietu MacOS iebūvēto aizsardzību un nozagtu jūsu failus.

"Tās iespējas skaidri parāda, ka tā operatoru nolūks ir vākt informāciju no upuru Mac datoriem, izfiltrējot dokumentus, taustiņu nospiešanas un ekrānuzņēmumus," rakstīja ESET pētnieks.

Marks Etjēns M.Lēveiljē. "Ievainojamību izmantošana, lai apietu macOS seku mazināšanu, liecina, ka ļaunprātīgas programmatūras operatori aktīvi cenšas maksimāli palielināt savu spiegošanas darbību panākumus."

Pastāvīga spiegprogrammatūra

ESET pētnieki pirmo reizi jauno ļaunprogrammatūru pamanīja 2022. gada aprīlī un saprata, ka tā var uzbrukt gan vecākiem Intel, gan jaunākajiem Apple datoriem, kuru pamatā ir silīcija.

Iespējams, spiegprogrammatūras pārsteidzošākais aspekts ir tas, ka pēc izvietošanas upura Mac datorā CloudMensis nevairās no neizmantoto Apple ievainojamību izmantošana ar nolūku apiet macOS Transparency Consent and Control (TCC) sistēma.

TCC ir paredzēts, lai mudinātu lietotāju piešķirt lietotnēm atļauju uzņemt ekrānuzņēmumus vai pārraudzīt tastatūras notikumus. Tas neļauj lietotnēm piekļūt sensitīviem lietotāja datiem, ļaujot MacOS lietotājiem konfigurēt privātuma iestatījumus lietotnēm, kas instalētas viņu sistēmās un ierīcēs, kas savienotas ar viņu Mac datoriem, tostarp mikrofoniem un kameras.

Noteikumi tiek saglabāti datu bāzē, kuru aizsargā Sistēmas integritātes aizsardzība (SIP), kas nodrošina, ka tikai TCC dēmons var modificēt datu bāzi.

Pamatojoties uz savu analīzi, pētnieki apgalvo, ka CloudMensis izmanto pāris metodes, lai apietu TCC un izvairītos no jebkādas atļaujas uzvednes, iegūstot netraucētu piekļuvi datora jutīgajām vietām, piemēram, ekrānam, noņemamai krātuvei un tastatūrai.

Datoros ar atspējotu SIP spiegprogrammatūra vienkārši piešķirs sev atļaujas piekļūt jutīgajām ierīcēm, pievienojot jaunus noteikumus TCC datubāzei. Tomēr datoros, kuros ir aktīvs SIP, CloudMensis izmantos zināmās ievainojamības, lai apmānītu TCC, lai ielādētu datubāzi, kurā spiegprogrammatūra var rakstīt.

Aizsargājiet sevi

"Parasti mēs pieņemam, ka, iegādājoties Mac produktu, tas ir pilnībā aizsargāts pret ļaunprātīgu programmatūru un kiberdraudiem, taču tas ne vienmēr tā ir." Džordžs Gērčovs, galvenais drošības speciālists, Sumo loģika, stāstīja Lifewire e-pasta apmaiņā.

Gerčovs skaidroja, ka mūsdienās situācija ir vēl satraucošāka, jo daudzi cilvēki strādā no mājām vai hibrīda vidē, izmantojot personālos datorus. "Tas apvieno personas datus ar uzņēmuma datiem, radot neaizsargātu un vēlamu datu kopumu hakeriem," atzīmēja Gerčovs.

Anonīms hakeris pārtrauc piekļuvi, lai nozagtu informāciju un inficētu datorus un sistēmas. Interneta noziegumu koncepcija. — Rapeepong Puttakumwong / Getty Images

Lai gan pētnieki iesaka palaist jaunāko Mac datoru, lai vismaz novērstu spiegprogrammatūras apiešanu TCC, Gerchow uzskata, ka personīgo ierīču un uzņēmuma datu tuvums liek izmantot visaptverošu uzraudzību un aizsardzību programmatūra.

"Galapunkta aizsardzību, ko bieži izmanto uzņēmumi, [cilvēki] var instalēt atsevišķi, lai uzraudzītu un aizsargātu ieejas punkti tīklos vai mākoņsistēmās no sarežģītas ļaunprogrammatūras un attīstošiem nulles dienas draudiem. Gerčova. "Reģistrējot datus, lietotāji var atklāt jaunu, potenciāli nezināmu trafiku un izpildāmos failus savā tīklā."

Tas varētu šķist pārspīlēti, taču pat pētnieki nevēlas izmantot visaptverošus aizsardzības līdzekļus, lai pasargātu cilvēkus pret spiegprogrammatūru, atsaucoties uz Bloķēšanas režīms Apple gatavojas ieviest iOS, iPadOS un macOS. Tas ir paredzēts, lai sniegtu cilvēkiem iespēju viegli atspējot funkcijas, kuras uzbrucēji bieži izmanto, lai izspiegotu cilvēkus.

"Lai gan tā nav vismodernākā ļaunprogrammatūra, CloudMensis var būt viens no iemesliem, kāpēc daži lietotāji vēlas iespējot šo papildu aizsardzību [jauno bloķēšanas režīmu]," atzīmēja pētnieki. "Ieejas punktu atspējošana uz mazāk plūstošas lietotāja pieredzes rēķina izklausās kā saprātīgs veids, kā samazināt uzbrukuma virsmu."