Atslēgas līdzņemšanai
- Pētnieki savvaļā ir pamanījuši vēl neredzētu MacOS spiegprogrammatūru.
- Tā nav vismodernākā ļaunprātīgā programmatūra, un, lai sasniegtu savus mērķus, tā ir atkarīga no cilvēku sliktās drošības higiēnas.
-
Tomēr visaptveroši drošības mehānismi, piemēram, Apple gaidāmais bloķēšanas režīms, ir stunda nepieciešami, apgalvo drošības eksperti.
Drošības pētnieki ir atklājuši jaunu macOS spiegprogrammatūru, kas izmanto jau salabotās ievainojamības, lai apietu MacOS iebūvēto aizsardzību. Tās atklājums uzsver, cik svarīgi ir sekot līdzi operētājsistēmas atjauninājumiem.
Dubbelētā CloudMensis, iepriekš nezināmā spiegprogrammatūra, ko pamanīja ESET pētnieki, izmanto tikai publiskos mākoņkrātuves pakalpojumus, piemēram, pCloud, Dropbox un citus, lai sazinātos ar uzbrucējiem un izfiltrētu failus. Satraucoši, tas izmanto daudzas ievainojamības, lai apietu MacOS iebūvēto aizsardzību un nozagtu jūsu failus.
"Tās iespējas skaidri parāda, ka tā operatoru nolūks ir ievākt informāciju no upuru Mac datoriem, izfiltrējot dokumentus, taustiņu nospiešanu un ekrānuzņēmumus," rakstīja ESET pētnieks Marks Etjēns M. Lēveillē. "Ievainojamību izmantošana, lai apietu MacOS seku mazināšanu, liecina, ka ļaunprātīgas programmatūras operatori aktīvi cenšas maksimāli palielināt savu spiegošanas darbību panākumus."
Pastāvīga spiegprogrammatūra
ESET pētnieki pirmo reizi pamanīja jauno ļaunprogrammatūru 2022. gada aprīlī un saprata, ka tā var uzbrukt gan vecākiem Intel, gan jaunākajiem Apple datoriem, kuru pamatā ir silīcija.
Iespējams, visspilgtākais spiegprogrammatūras aspekts ir tas, ka pēc izvietošanas upura Mac datorā CloudMensis nevairās izmantot nelabotās Apple ievainojamības, lai apietu macOS Transparency Consent and Control (TCC) sistēmu.
TCC ir paredzēts, lai mudinātu lietotāju piešķirt lietotnēm atļauju uzņemt ekrānuzņēmumus vai pārraudzīt tastatūras notikumus. Tas neļauj lietotnēm piekļūt sensitīviem lietotāju datiem, ļaujot MacOS lietotājiem konfigurēt konfidencialitātes iestatījumus lietotnēm, kas instalētas viņu sistēmās un ierīcēs, kas savienotas ar viņu Mac datoru, tostarp mikrofonos un kamerās.
Noteikumi tiek saglabāti datu bāzē, ko aizsargā sistēmas integritātes aizsardzība (SIP), kas nodrošina, ka tikai TCC dēmons var modificēt datu bāzi.
Pamatojoties uz savu analīzi, pētnieki apgalvo, ka CloudMensis izmanto pāris paņēmienus, lai apietu TCC un izvairītos no jebkādām atļauju uzvednēm, iegūstot netraucētu piekļuvi datora jutīgajām vietām, piemēram, ekrānam, noņemamajai krātuvei un tastatūra.
Datoros ar atspējotu SIP spiegprogrammatūra vienkārši piešķirs sev atļaujas piekļūt sensitīvām ierīcēm, pievienojot TCC datubāzei jaunus noteikumus. Tomēr datoros, kuros SIP ir aktīvs, CloudMensis izmantos zināmās ievainojamības, lai apmānītu TCC, lai ielādētu datubāzi, kurā spiegprogrammatūra var rakstīt.
Aizsargājiet sevi
"Mēs parasti pieņemam, ka, iegādājoties Mac produktu, tas ir pilnībā aizsargāts pret ļaunprātīgu programmatūru un kiberdraudiem, taču tas ne vienmēr tā ir," e-pasta apmaiņā Lifewire sacīja Džordžs Gerčovs, Sumo Logic galvenais drošības speciālists..
Gerčovs paskaidroja, ka mūsdienās situācija ir vēl satraucošāka, jo daudzi cilvēki strādā no mājām vai hibrīda vidē, izmantojot personālos datorus. "Tas apvieno personas datus ar uzņēmuma datiem, veidojot neaizsargātu un hakeriem vēlamo datu kopu," atzīmēja Gerčovs.
Lai gan pētnieki iesaka darbināt jaunāko Mac datoru, lai vismaz novērstu spiegprogrammatūras apiešanu TCC, Gerčovs uzskata, ka personīgo ierīču un uzņēmuma datu tuvums liek izmantot visaptverošu uzraudzības un aizsardzības programmatūru.
"Galapunkta aizsardzību, ko bieži izmanto uzņēmumi, [cilvēki] var instalēt atsevišķi, lai uzraudzītu un aizsargātu ieejas punktus tīklos vai mākoņsistēmās no sarežģītas ļaunprātīgas programmatūras un attīstošiem nulles dienas draudiem," ieteica Gerčovs.. "Reģistrējot datus, lietotāji var noteikt jaunu, potenciāli nezināmu trafiku un izpildāmos failus savā tīklā."
Tas varētu šķist pārspīlēti, taču pat pētnieki nekautrējas izmantot visaptverošus aizsardzības līdzekļus, lai pasargātu cilvēkus pret spiegprogrammatūru, atsaucoties uz bloķēšanas režīmu, ko Apple ir paredzēts ieviest operētājsistēmās iOS, iPadOS un macOS. Tas ir paredzēts, lai sniegtu cilvēkiem iespēju viegli atspējot funkcijas, kuras uzbrucēji bieži izmanto, lai izspiegotu cilvēkus.
"Lai gan CloudMensis nav vismodernākā ļaunprogrammatūra, tas var būt viens no iemesliem, kāpēc daži lietotāji vēlas iespējot šo papildu aizsardzību [jauno bloķēšanas režīmu]," atzīmēja pētnieki. "Ieejas punktu atspējošana uz mazāk plūstošas lietotāja pieredzes rēķina izklausās kā saprātīgs veids, kā samazināt uzbrukuma virsmu."