Recomandări cheie
- Cercetătorii au descoperit un program spion macOS nemaivăzut în sălbăticie.
- Nu este cel mai avansat program malware și se bazează pe igiena slabă de securitate a oamenilor pentru a-și atinge obiectivele.
-
Totuși, mecanismele de securitate cuprinzătoare, cum ar fi viitorul mod de blocare al Apple, sunt nevoia momentului, susțin experții în securitate.
Cercetătorii în domeniul securității au depistat un nou program spyware macOS care exploatează vulnerabilitățile deja corectate pentru a evita protecțiile încorporate în macOS. Descoperirea sa subliniază importanța de a ține pasul cu actualizările sistemului de operare.
Dubbed CloudMensis, programul spion necunoscut anterior, depistat de cercetătorii de la ESET, utilizează exclusiv servicii publice de stocare în cloud, cum ar fi pCloud, Dropbox și altele, pentru a comunica cu atacatorii și pentru a exfiltra fișierele. Îngrijorător, exploatează o multitudine de vulnerabilități pentru a ocoli protecțiile încorporate ale macOS pentru a vă fura fișierele.
„Capacitățile sale arată în mod clar că intenția operatorilor săi este de a culege informații de pe Mac-urile victimelor prin exfiltrarea documentelor, apăsări de taste și capturi de ecran”, a scris cercetătorul ESET Marc-Etienne M. Léveillé. „Folosirea vulnerabilităților pentru a rezolva atenuările macOS arată că operatorii de programe malware încearcă în mod activ să maximizeze succesul operațiunilor lor de spionaj.”
Programe spion persistente
Cercetătorii ESET au observat pentru prima dată noul malware în aprilie 2022 și și-au dat seama că ar putea ataca atât computerele mai vechi Intel, cât și cele mai noi Apple pe bază de siliciu.
Poate cel mai izbitor aspect al programului spyware este că, după ce a fost implementat pe Mac-ul unei victime, CloudMensis nu se sfiește să exploateze vulnerabilitățile Apple nepatchizate cu intenția de a ocoli sistemul macOS Transparency Consent and Control (TCC).
TCC este conceput pentru a solicita utilizatorului să acorde aplicațiilor permisiunea de a face capturi de ecran sau de a monitoriza evenimentele de la tastatură. Blochează accesul aplicațiilor la datele sensibile ale utilizatorilor, permițând utilizatorilor macOS să configureze setările de confidențialitate pentru aplicațiile instalate pe sistemele și dispozitivele lor conectate la Mac-urile lor, inclusiv microfoanele și camerele.
Regulile sunt salvate într-o bază de date protejată de System Integrity Protection (SIP), care asigură că numai demonul TCC poate modifica baza de date.
Pe baza analizei lor, cercetătorii afirmă că CloudMensis folosește câteva tehnici pentru a ocoli TCC și pentru a evita orice solicitare de permisiune, obținând acces nestingherit la zonele sensibile ale computerului, cum ar fi ecranul, spațiul de stocare amovibil și tastatură.
Pe computerele cu SIP dezactivat, programul spyware își va acorda pur și simplu permisiunea de a accesa dispozitivele sensibile prin adăugarea de noi reguli la baza de date TCC. Cu toate acestea, pe computerele pe care SIP este activ, CloudMensis va exploata vulnerabilitățile cunoscute pentru a păcăli TCC să încarce o bază de date în care poate scrie programul spion.
Protejează-te
„De obicei presupunem că, atunci când achiziționăm un produs Mac, acesta este complet ferit de programe malware și amenințări cibernetice, dar nu este întotdeauna cazul”, a declarat George Gerchow, director de securitate, Sumo Logic, pentru Lifewire într-un schimb de e-mailuri..
Gerchow a explicat că situația este și mai îngrijorătoare în aceste zile, cu mulți oameni care lucrează de acasă sau într-un mediu hibrid folosind computere personale. „Acest lucru combină datele personale cu datele întreprinderii, creând un grup de date vulnerabile și de dorit pentru hackeri”, a menționat Gerchow.
În timp ce cercetătorii sugerează să rulați un Mac actualizat pentru a împiedica cel puțin spyware-ul să ocolească TCC, Gerchow consideră că apropierea dispozitivelor personale și a datelor întreprinderii necesită utilizarea unui software cuprinzător de monitorizare și protecție.
„Protecția punctelor terminale, folosită frecvent de întreprinderi, poate fi instalată individual de către [oameni] pentru a monitoriza și proteja punctele de intrare în rețele sau sisteme bazate pe cloud, împotriva programelor malware sofisticate și a amenințărilor zero-day în evoluție”, a sugerat Gerchow. „Prin înregistrarea datelor, utilizatorii pot detecta trafic și executabile noi, potențial necunoscut, în rețeaua lor.”
S-ar putea să sune exagerat, dar nici măcar cercetătorii nu sunt contrarii să folosească protecții complete pentru a proteja oamenii împotriva programelor spion, referindu-ne la modul de blocare pe care Apple îl va introduce pe iOS, iPadOS și macOS. Este menit să ofere oamenilor opțiunea de a dezactiva cu ușurință funcțiile pe care atacatorii le exploatează frecvent pentru a spiona oamenii.
„Deși nu este cel mai avansat malware, CloudMensis poate fi unul dintre motivele pentru care unii utilizatori ar dori să activeze această apărare suplimentară [noul mod Lockdown]”, au remarcat cercetătorii. „Dezactivarea punctelor de intrare, în detrimentul unei experiențe de utilizator mai puțin fluide, sună ca o modalitate rezonabilă de a reduce suprafața de atac.„
