Нови мацОС малвер користи неколико трикова да вас шпијунира

July 21, 2022
УВести Интернет и безбедност

Истраживачи су уочили никад виђени мацОС шпијунски софтвер у дивљини.
То није најнапреднији малвер и ослања се на лошу безбедносну хигијену људи да би постигао своје циљеве.
Ипак, свеобухватни сигурносни механизми, као што је Аппле-ов предстојећи режим закључавања, су потреба сата, тврде стручњаци за безбедност.

Хакерски концепт, Хакер напада интернет преко МацБоок-а — крисанапонг детрапхипхат / Гетти Имагес

Истраживачи безбедности су уочили нови мацОС шпијунски софтвер који користи већ закрпљене рањивости да би заобишао заштиту уграђену у мацОС. Његово откриће наглашава важност праћења ажурирања оперативног система.

Назван ЦлоудМенсис, раније непознати шпијунски софтвер, уочили истраживачи из ЕСЕТ-а, користи искључиво јавне сервисе за складиштење у облаку као што су пЦлоуд, Дропбок и други за комуникацију са нападачима и за ексфилтрирање датотека. Забрињавајуће је то што користи мноштво рањивости да заобиђе уграђену заштиту мацОС-а да би украо ваше датотеке.

„Његове могућности јасно показују да је намера његових оператера да прикупе информације са Мац рачунара жртава ексфилтрирањем докумената, притисака на тастере и снимака екрана“, написао је истраживач ЕСЕТ-а

Марц-Етиенне М.Левеилле. „Коришћење рањивости за превазилажење мацОС ублажавања показује да оператери малвера активно покушавају да максимизирају успех својих шпијунских операција.“

Персистент Спиваре

Истраживачи ЕСЕТ-а су први пут уочили нови малвер у априлу 2022. и схватили да би могао да нападне и старије Интел и новије Аппле рачунаре засноване на силикону.

Можда најупечатљивији аспект шпијунског софтвера је то што након што се постави на Мац жртве, ЦлоудМенсис не бежи од искоришћавање незакрпљених Аппле рањивости са намером да се заобиђе сагласност и контрола мацОС транспарентности (ТЦЦ) система.

ТЦЦ је дизајниран да затражи од корисника да одобри апликацијама дозволу за снимање екрана или праћење догађаја на тастатури. Он блокира приступ апликацијама осетљивим корисничким подацима омогућавајући корисницима мацОС-а да конфигуришу подешавања приватности за апликације инсталиране на њиховим системима и уређајима повезаним са њиховим Мац рачунарима, укључујући микрофоне и камере.

Правила се чувају у бази података заштићеној Заштита интегритета система (СИП), што осигурава да само ТЦЦ демон може да мења базу података.

На основу њихове анализе, истраживачи наводе да ЦлоудМенсис користи неколико техника да заобиђе ТЦЦ и избегне било какву дозволу обавештења, чиме се добија несметан приступ осетљивим деловима рачунара, као што су екран, преносива меморија и тастатура.

На рачунарима са онемогућеним СИП-ом, шпијунски софтвер ће себи једноставно дати дозволе за приступ осетљивим уређајима додавањем нових правила у ТЦЦ базу података. Међутим, на рачунарима на којима је СИП активан, ЦлоудМенсис ће искористити познате рањивости да превари ТЦЦ да учита базу података у коју шпијунски софтвер може да пише.

Заштити себе

„Обично претпостављамо да је када купујемо Мац производ потпуно безбедан од малвера и сајбер претњи, али то није увек случај“, Георге Герцхов, шеф безбедности, Сумо Логиц, рекао је Лифевире-у у размјени е-поште.

Герхов је објаснио да је ситуација ових дана још више забрињавајућа јер многи људи раде од куће или у хибридном окружењу користећи персоналне рачунаре. „Ово комбинује личне податке са подацима предузећа, стварајући скуп рањивих и пожељних података за хакере“, приметио је Герхов.

Анонимни хакер крши приступ да би украо информације и заразио рачунаре и системе. Концепт интернет криминала. — Рапеепонг Путтакумвонг / Гетти Имагес

Док истраживачи предлажу покретање ажурираног Мац-а како би се барем спречило да шпијунски софтвер заобиђе ТЦЦ, Герхов верује да близина личних уређаја и података предузећа захтева коришћење свеобухватног надзора и заштите софтвер.

„Заштиту крајњих тачака, коју предузећа често користе, [људи] могу појединачно да инсталирају ради надгледања и заштите улазне тачке на мрежама или системима заснованим на облаку, од софистицираног малвера и еволуирајућих претњи нултог дана“, предложио је Герцхов. „Евидентирањем података, корисници могу открити нови, потенцијално непознати саобраћај и извршне датотеке унутар своје мреже.“

Можда звучи као претерано, али чак ни истраживачи нису склони да користе свеобухватну заштиту како би заштитили људе од шпијунског софтвера, позивајући се на Режим закључавања Аппле је спреман да уведе на иОС, иПадОС и мацОС. Намењен је да људима пружи могућност да лако онемогуће функције које нападачи често користе да би шпијунирали људе.

„Иако није најнапреднији малвер, ЦлоудМенсис може бити један од разлога због којих би неки корисници желели да омогуће ову додатну одбрану [нови режим закључавања]“, приметили су истраживачи. „Онемогућавање улазних тачака, на рачун мање флуидног корисничког искуства, звучи као разуман начин да се смањи површина напада.“