Nowe złośliwe oprogramowanie macOS wykorzystuje kilka sztuczek do szpiegowania Ciebie
- Naukowcy zauważyli nigdy wcześniej nie widziane oprogramowanie szpiegujące dla systemu MacOS na wolności.
- Nie jest to najbardziej zaawansowane złośliwe oprogramowanie i do osiągnięcia swoich celów opiera się na niskiej higienie bezpieczeństwa ludzi.
- Eksperci ds. bezpieczeństwa przekonują jednak, że kompleksowe mechanizmy bezpieczeństwa, takie jak nadchodzący tryb blokady Apple, są potrzebą chwili.
krisanapong detraphiphat / Getty Images
Badacze bezpieczeństwa zauważyli nowe oprogramowanie szpiegujące dla systemu macOS, które wykorzystuje już załatane luki w zabezpieczeniach, aby obejść zabezpieczenia wbudowane w system macOS. Jego odkrycie podkreśla znaczenie nadążania za aktualizacjami systemu operacyjnego.
Nazwany CloudMensis, nieznany wcześniej program szpiegujący, zauważony przez badaczy z ESET, wykorzystuje wyłącznie usługi przechowywania w chmurze publicznej, takie jak pCloud, Dropbox i inne, do komunikowania się z atakującymi i do eksfiltracji plików. Co niepokojące, wykorzystuje mnóstwo luk w zabezpieczeniach, aby ominąć wbudowane zabezpieczenia systemu macOS w celu kradzieży plików.
„Jego możliwości wyraźnie pokazują, że intencją operatorów jest zbieranie informacji z komputerów Mac ofiar poprzez wydobywanie dokumentów, naciśnięć klawiszy i zrzutów ekranu” — napisał badacz ESET. Marc-Etienne M.Léveillé. „Wykorzystanie luk w zabezpieczeniach w celu obejścia łagodzenia skutków systemu macOS pokazuje, że operatorzy szkodliwego oprogramowania aktywnie próbują zmaksymalizować sukces swoich operacji szpiegowskich”.
Trwałe oprogramowanie szpiegujące
Badacze ESET po raz pierwszy zauważyli nowe złośliwe oprogramowanie w kwietniu 2022 r. i zdali sobie sprawę, że może ono atakować zarówno starsze komputery Intela, jak i nowsze komputery Apple oparte na krzemie.
Być może najbardziej uderzającym aspektem oprogramowania szpiegującego jest to, że po wdrożeniu na komputerze Mac ofiary CloudMensis nie boi się wykorzystywanie niezałatanych luk w zabezpieczeniach Apple w celu ominięcia zgody i kontroli przejrzystości macOS (TCC) system.
TCC ma na celu monitowanie użytkownika o przyznanie aplikacjom uprawnień do wykonywania zrzutów ekranu lub monitorowania zdarzeń klawiatury. Blokuje aplikacjom dostęp do poufnych danych użytkownika, umożliwiając użytkownikom systemu macOS konfigurowanie ustawień prywatności dla aplikacji zainstalowanych w ich systemach i urządzeniach podłączonych do ich komputerów Mac, w tym mikrofonów i kamery.
Reguły są zapisywane w bazie danych chronionej przez Ochrona integralności systemu (SIP), co zapewnia, że tylko demon TCC może modyfikować bazę danych.
Na podstawie swojej analizy naukowcy stwierdzili, że CloudMensis wykorzystuje kilka technik, aby ominąć TCC i uniknąć jakichkolwiek zezwoleń monity, uzyskując nieograniczony dostęp do wrażliwych obszarów komputera, takich jak ekran, pamięć wymienna i klawiatura.
Na komputerach z wyłączonym SIP oprogramowanie szpiegujące po prostu przyzna sobie uprawnienia dostępu do wrażliwych urządzeń, dodając nowe reguły do bazy danych TCC. Jednak na komputerach, na których aktywny jest protokół SIP, CloudMensis wykorzysta znane luki w zabezpieczeniach, aby nakłonić TCC do załadowania bazy danych, do której może zapisywać oprogramowanie szpiegujące.
Chroń się
„Zazwyczaj zakładamy, że kupując produkt Mac, jest on całkowicie bezpieczny przed złośliwym oprogramowaniem i cyberzagrożeniami, ale nie zawsze tak jest” Jerzy Gerchow, Szef ochrony, Logika sumo, powiedział Lifewire podczas wymiany e-maili.
Gerchow wyjaśnił, że obecnie sytuacja jest jeszcze bardziej niepokojąca, ponieważ wiele osób pracuje w domu lub w środowisku hybrydowym przy użyciu komputerów osobistych. „To łączy dane osobowe z danymi przedsiębiorstwa, tworząc pulę wrażliwych i pożądanych danych dla hakerów” – zauważył Gerchow.
Rapeepong Puttakumwong / Getty Images
Podczas gdy badacze sugerują uruchomienie aktualnego komputera Mac, aby przynajmniej zapobiec omijaniu przez oprogramowanie szpiegujące TCC, Gerchow uważa, że bliskość urządzeń osobistych i danych korporacyjnych wymaga wszechstronnego monitorowania i ochrony oprogramowanie.
„Ochrona punktów końcowych, często używana przez przedsiębiorstwa, może być instalowana indywidualnie przez [osoby] w celu monitorowania i ochrony punkty wejścia w sieciach lub systemach opartych na chmurze przed wyrafinowanym złośliwym oprogramowaniem i ewoluującymi zagrożeniami dnia zerowego” sugerował Gerchowa. „Dzięki rejestrowaniu danych użytkownicy mogą wykrywać nowy, potencjalnie nieznany ruch i pliki wykonywalne w swojej sieci”.
Może to brzmieć jak przesada, ale nawet naukowcy nie są przeciwni stosowaniu kompleksowych zabezpieczeń w celu ochrony ludzi przed oprogramowaniem szpiegującym, odnosząc się do Tryb blokady Apple zamierza wprowadzić na iOS, iPadOS i macOS. Ma to na celu umożliwienie ludziom łatwego wyłączenia funkcji, które atakujący często wykorzystują do szpiegowania ludzi.
„Chociaż nie jest to najbardziej zaawansowane złośliwe oprogramowanie, CloudMensis może być jednym z powodów, dla których niektórzy użytkownicy chcieliby włączyć tę dodatkową ochronę [nowy tryb blokady]” – zauważają badacze. „Wyłączenie punktów wejścia, kosztem mniej płynnego doświadczenia użytkownika, brzmi jak rozsądny sposób na zmniejszenie powierzchni ataku”.