Noul program malware macOS folosește mai multe trucuri pentru a vă spiona

July 21, 2022
ÎnȘtiri Securitatea Internetului

Cercetătorii au descoperit în sălbăticie un spyware macOS nemaivăzut până acum.
Nu este cel mai avansat malware și se bazează pe igiena de securitate slabă a oamenilor pentru a-și atinge obiectivele.
Cu toate acestea, mecanismele de securitate cuprinzătoare, cum ar fi viitorul mod de blocare al Apple, sunt nevoia momentului, susțin experții în securitate.

Hacker Concept, Hacker care atacă internetul prin MacBook — krisanapong detraphiphat / Getty Images

Cercetătorii în domeniul securității au descoperit un nou program spyware macOS care exploatează vulnerabilitățile deja corectate pentru a rezolva protecțiile încorporate în macOS. Descoperirea sa subliniază importanța de a ține pasul cu actualizările sistemului de operare.

Numit CloudMensis, programul spion necunoscut anterior, depistat de cercetătorii de la ESET, utilizează exclusiv servicii publice de stocare în cloud, cum ar fi pCloud, Dropbox și altele, pentru a comunica cu atacatorii și pentru a exfiltra fișiere. În mod îngrijorător, exploatează o multitudine de vulnerabilități pentru a ocoli protecțiile încorporate ale macOS pentru a vă fura fișierele.

„Capacitățile sale arată în mod clar că intenția operatorilor săi este de a culege informații de pe Mac-urile victimelor prin exfiltrarea documentelor, apăsări de taste și capturi de ecran”, a scris cercetătorul ESET. Marc-Etienne M.Léveillé. „Folosirea vulnerabilităților pentru a rezolva atenuările macOS arată că operatorii de programe malware încearcă în mod activ să maximizeze succesul operațiunilor lor de spionaj.”

Spyware persistent

Cercetătorii ESET au observat pentru prima dată noul malware în aprilie 2022 și și-au dat seama că ar putea ataca atât computerele mai vechi Intel, cât și cele mai noi Apple pe bază de siliciu.

Poate cel mai frapant aspect al programului spyware este că, după ce a fost implementat pe Mac-ul unei victime, CloudMensis nu se sfiește de exploatarea vulnerabilităților Apple necorecte cu intenția de a ocoli consimțământul și controlul transparenței macOS (TCC) sistem.

TCC este conceput pentru a solicita utilizatorului să acorde aplicațiilor permisiunea de a face capturi de ecran sau de a monitoriza evenimentele de la tastatură. Blochează accesul aplicațiilor la datele sensibile ale utilizatorilor, permițând utilizatorilor macOS să configureze setările de confidențialitate pentru aplicațiile instalate pe sistemele și dispozitivele lor conectate la Mac-urile lor, inclusiv microfoanele și camere de luat vederi.

Regulile sunt salvate într-o bază de date protejată de Protecția integrității sistemului (SIP), care asigură că numai demonul TCC poate modifica baza de date.

Pe baza analizei lor, cercetătorii afirmă că CloudMensis folosește câteva tehnici pentru a ocoli TCC și pentru a evita orice permisiune. solicită, obținând acces nestingherit la zonele sensibile ale computerului, cum ar fi ecranul, spațiul de stocare detașabil și tastatura.

Pe computerele cu SIP dezactivat, programul spyware își va acorda pur și simplu permisiunea de a accesa dispozitivele sensibile prin adăugarea de noi reguli la baza de date TCC. Cu toate acestea, pe computerele pe care SIP este activ, CloudMensis va exploata vulnerabilitățile cunoscute pentru a păcăli TCC să încarce o bază de date în care poate scrie spyware.

Protejeaza-te

„De obicei presupunem că atunci când achiziționăm un produs Mac, acesta este complet ferit de programe malware și amenințări cibernetice, dar nu este întotdeauna cazul.” George Gerchow, ofițer șef de securitate, Logica sumo, a spus Lifewire într-un schimb de e-mail.

Gerchow a explicat că situația este și mai îngrijorătoare în aceste zile, cu mulți oameni care lucrează de acasă sau într-un mediu hibrid folosind computere personale. „Acest lucru combină datele personale cu datele întreprinderii, creând un grup de date vulnerabile și de dorit pentru hackeri”, a menționat Gerchow.

Un hacker anonim întrerupe accesul pentru a fura informații și a infecta computere și sisteme. Conceptul de criminalitate pe internet. — Rapeepong Puttakumwong / Getty Images

În timp ce cercetătorii sugerează să ruleze un Mac actualizat pentru a împiedica cel puțin spyware-ul să ocolească TCC, Gerchow consideră că proximitatea dispozitivelor personale și a datelor întreprinderii necesită utilizarea unei monitorizări și protecție cuprinzătoare software.

„Protecția endpoint, folosită frecvent de întreprinderi, poate fi instalată individual de [oameni] pentru a monitoriza și proteja puncte de intrare în rețele sau sisteme bazate pe cloud, de la programe malware sofisticate și amenințări zero-day în evoluție”, a sugerat Gerchow. „Prin înregistrarea datelor, utilizatorii pot detecta trafic și executabile noi, potențial necunoscut, în rețeaua lor”.

S-ar putea să sune exagerat, dar nici măcar cercetătorii nu sunt contrarii să folosească protecții cuprinzătoare pentru a proteja oamenii împotriva programelor spion, referindu-se la Modul de blocare Apple este pregătit să introducă pe iOS, iPadOS și macOS. Este menit să ofere oamenilor opțiunea de a dezactiva cu ușurință funcțiile pe care atacatorii le exploatează frecvent pentru a spiona oamenii.

„Deși nu este cel mai avansat malware, CloudMensis poate fi unul dintre motivele pentru care unii utilizatori ar dori să activeze această apărare suplimentară [noul mod Lockdown]”, au observat cercetătorii. „Dezactivarea punctelor de intrare, în detrimentul unei experiențe de utilizator mai puțin fluide, sună ca o modalitate rezonabilă de a reduce suprafața de atac.”