มัลแวร์ macOS ใหม่ใช้เคล็ดลับหลายอย่างในการสอดแนมคุณ

นักวิจัยด้านความปลอดภัยพบสปายแวร์ macOS ตัวใหม่ที่ใช้ประโยชน์จากช่องโหว่ที่ได้รับการแก้ไขแล้ว เพื่อแก้ไขการป้องกันที่มีอยู่ใน macOS การค้นพบนี้เน้นย้ำถึงความสำคัญของการติดตามการอัปเดตระบบปฏิบัติการ

ขนานนามว่า CloudMensis สปายแวร์ที่ไม่รู้จักก่อนหน้านี้ พบโดยนักวิจัยที่ ESETใช้บริการพื้นที่เก็บข้อมูลบนคลาวด์สาธารณะ เช่น pCloud, Dropbox และอื่นๆ เพื่อสื่อสารกับผู้โจมตีและสำหรับการสกัดไฟล์ น่าเป็นห่วง มันใช้ประโยชน์จากช่องโหว่มากมายเพื่อหลีกเลี่ยงการป้องกันในตัวของ macOS เพื่อขโมยไฟล์ของคุณ

"ความสามารถของมันแสดงให้เห็นชัดเจนว่าเจตนาของผู้ปฏิบัติงานคือการรวบรวมข้อมูลจากเครื่อง Mac ของเหยื่อโดยการกรองเอกสาร การกดแป้นพิมพ์ และการจับภาพหน้าจอ" นักวิจัยของ ESET เขียน

มาร์ก-เอเตียน เอ็ม. เลเวลล์. "การใช้ช่องโหว่เพื่อแก้ไขการบรรเทา macOS แสดงให้เห็นว่าผู้ดำเนินการมัลแวร์พยายามอย่างเต็มที่เพื่อเพิ่มความสำเร็จในการสอดแนมของพวกเขา"

สปายแวร์ถาวร

นักวิจัยของ ESET พบมัลแวร์ตัวใหม่ครั้งแรกในเดือนเมษายน พ.ศ. 2565 และตระหนักว่าสามารถโจมตีทั้ง Intel รุ่นเก่าและคอมพิวเตอร์ที่ใช้ซิลิคอนของ Apple รุ่นใหม่กว่าได้

บางทีสิ่งที่โดดเด่นที่สุดของสปายแวร์ก็คือหลังจากใช้งานบน Mac ของเหยื่อแล้ว CloudMensis ก็ไม่หวั่นไหว ใช้ประโยชน์จากช่องโหว่ของ Apple ที่ไม่ได้รับการแก้ไขโดยมีเจตนาที่จะข้ามการยินยอมและการควบคุมความโปร่งใสของ macOS (TCC) ระบบ.

TCC ได้รับการออกแบบมาเพื่อแจ้งให้ผู้ใช้ให้สิทธิ์แอปในการจับภาพหน้าจอหรือตรวจสอบเหตุการณ์แป้นพิมพ์ มันบล็อกแอพไม่ให้เข้าถึงข้อมูลผู้ใช้ที่มีความละเอียดอ่อนโดยทำให้ผู้ใช้ macOS สามารถกำหนดการตั้งค่าความเป็นส่วนตัวได้ สำหรับแอพที่ติดตั้งบนระบบและอุปกรณ์ที่เชื่อมต่อกับ Mac รวมถึงไมโครโฟนและ กล้อง

กฎจะถูกบันทึกไว้ในฐานข้อมูลที่ป้องกันโดย การป้องกันความสมบูรณ์ของระบบ (SIP)ซึ่งทำให้มั่นใจได้ว่ามีเพียง TCC daemon เท่านั้นที่สามารถแก้ไขฐานข้อมูลได้

จากการวิเคราะห์ของพวกเขา นักวิจัยระบุว่า CloudMensis ใช้เทคนิคสองสามอย่างในการเลี่ยงผ่าน TCC และหลีกเลี่ยงการอนุญาตใดๆ พร้อมท์ เข้าถึงพื้นที่อ่อนไหวของคอมพิวเตอร์ได้โดยไม่มีการจำกัด เช่น หน้าจอ ที่เก็บข้อมูลแบบถอดได้ และแป้นพิมพ์

ในคอมพิวเตอร์ที่ปิดใช้งาน SIP สปายแวร์จะให้สิทธิ์ในการเข้าถึงอุปกรณ์ที่มีความละเอียดอ่อนโดยการเพิ่มกฎใหม่ลงในฐานข้อมูล TCC อย่างไรก็ตาม ในคอมพิวเตอร์ที่เปิดใช้งาน SIP CloudMensis จะใช้ช่องโหว่ที่รู้จักเพื่อหลอกให้ TCC โหลดฐานข้อมูลที่สปายแวร์สามารถเขียนได้

ป้องกันตัวเอง

"โดยปกติเราคิดว่าเมื่อเราซื้อผลิตภัณฑ์ Mac จะปลอดภัยจากมัลแวร์และภัยคุกคามทางไซเบอร์ แต่ก็ไม่เป็นเช่นนั้นเสมอไป" George Gerchow, หัวหน้าเจ้าหน้าที่รักษาความปลอดภัย, ลอจิกซูโม่บอกกับ Lifewire ในการแลกเปลี่ยนอีเมล

Gerchow อธิบายว่าสถานการณ์ตอนนี้น่าเป็นห่วงยิ่งขึ้นไปอีก เนื่องจากผู้คนจำนวนมากทำงานจากที่บ้านหรือในสภาพแวดล้อมแบบไฮบริดโดยใช้คอมพิวเตอร์ส่วนบุคคล "สิ่งนี้รวมข้อมูลส่วนบุคคลเข้ากับข้อมูลองค์กร สร้างกลุ่มข้อมูลที่เปราะบางและเป็นที่ต้องการสำหรับแฮ็กเกอร์" Gerchow กล่าว

ในขณะที่นักวิจัยแนะนำให้ใช้ Mac ที่ทันสมัยเพื่อป้องกันไม่ให้สปายแวร์ข้าม TCC อย่างน้อยที่สุด Gerchow เชื่อว่าความใกล้ชิดของอุปกรณ์ส่วนบุคคลและข้อมูลองค์กรเรียกร้องให้ใช้การตรวจสอบและการป้องกันที่ครอบคลุม ซอฟต์แวร์.

"การป้องกันปลายทางซึ่งองค์กรใช้บ่อยสามารถติดตั้งโดย [คน] ทีละคนเพื่อตรวจสอบและป้องกัน จุดเริ่มต้นบนเครือข่ายหรือระบบบนคลาวด์จากมัลแวร์ที่ซับซ้อนและภัยคุกคามซีโร่เดย์ที่พัฒนาขึ้น” แนะนำ เกอร์โชว. "โดยการบันทึกข้อมูล ผู้ใช้สามารถตรวจจับการรับส่งข้อมูลใหม่และไฟล์เรียกทำงานที่อาจไม่รู้จักภายในเครือข่ายของตนได้"

อาจดูเหมือนใช้ทักษะมากเกินไป แต่ถึงกระนั้นนักวิจัยก็ไม่รังเกียจที่จะใช้การป้องกันที่ครอบคลุมเพื่อปกป้องผู้คนจากสปายแวร์ โดยอ้างถึง โหมดล็อกดาวน์ Apple เตรียมเปิดตัวบน iOS, iPadOS และ macOS มีขึ้นเพื่อให้ผู้คนมีตัวเลือกในการปิดใช้งานคุณลักษณะที่ผู้โจมตีมักใช้เพื่อสอดแนมผู้คนได้อย่างง่ายดาย

"แม้ว่าจะไม่ใช่มัลแวร์ที่ก้าวหน้าที่สุด แต่ CloudMensis อาจเป็นหนึ่งในเหตุผลที่ผู้ใช้บางคนต้องการเปิดใช้งานการป้องกันเพิ่มเติมนี้ [โหมด Lockdown ใหม่]" นักวิจัยตั้งข้อสังเกต "การปิดใช้งานจุดเข้าใช้งานโดยเสียประสบการณ์ของผู้ใช้ที่ลื่นไหลน้อยลง ดูเหมือนจะเป็นวิธีที่สมเหตุสมผลในการลดพื้นผิวการโจมตี"