Kluczowe dania na wynos
- Naukowcy zauważyli nigdy wcześniej nie widziane oprogramowanie szpiegujące dla systemu MacOS na wolności.
- Nie jest to najbardziej zaawansowane złośliwe oprogramowanie i w celu osiągnięcia swoich celów opiera się na niskiej higienie bezpieczeństwa użytkowników.
Nadal, kompleksowe mechanizmy bezpieczeństwa, takie jak nadchodzący tryb blokady Apple, są potrzebą chwili, twierdzą eksperci ds. bezpieczeństwa.
Analitycy bezpieczeństwa wykryli nowe oprogramowanie szpiegujące dla systemu macOS, które wykorzystuje już załatane luki w zabezpieczeniach, aby obejść zabezpieczenia wbudowane w system macOS. Jego odkrycie podkreśla znaczenie nadążania za aktualizacjami systemu operacyjnego.
Dubbed CloudMensis, wcześniej nieznane oprogramowanie szpiegujące, wykryte przez badaczy z firmy ESET, korzysta wyłącznie z usług przechowywania w chmurze publicznej, takich jak pCloud, Dropbox i innych, do komunikacji z atakującymi i do eksfiltracji plików. Co niepokojące, wykorzystuje mnóstwo luk w zabezpieczeniach, aby ominąć wbudowane zabezpieczenia systemu macOS w celu kradzieży plików.
„Jego możliwości wyraźnie pokazują, że intencją operatorów jest zbieranie informacji z komputerów Mac ofiar poprzez eksfiltrację dokumentów, naciśnięć klawiszy i zrzutów ekranu” - napisał badacz ESET Marc-Etienne M. Léveillé. „Wykorzystanie luk w zabezpieczeniach w celu obejścia macOS pokazuje, że operatorzy złośliwego oprogramowania aktywnie próbują zmaksymalizować sukces swoich operacji szpiegowskich”.
Trwałe oprogramowanie szpiegujące
Analitycy ESET po raz pierwszy zauważyli nowe złośliwe oprogramowanie w kwietniu 2022 r. i zdali sobie sprawę, że może ono atakować zarówno starsze komputery Intela, jak i nowsze komputery Apple oparte na krzemie.
Być może najbardziej uderzającym aspektem oprogramowania szpiegującego jest to, że po wdrożeniu na komputerze Mac ofiary CloudMensis nie stroni od wykorzystywania niezałatanych luk w zabezpieczeniach Apple w celu ominięcia systemu macOS Transparency Consent and Control (TCC).
TCC ma na celu monitowanie użytkownika o przyznanie aplikacjom uprawnień do wykonywania zrzutów ekranu lub monitorowania zdarzeń klawiatury. Blokuje dostęp aplikacjom do poufnych danych użytkownika, umożliwiając użytkownikom systemu macOS konfigurowanie ustawień prywatności dla aplikacji zainstalowanych w ich systemach i urządzeniach podłączonych do ich komputerów Mac, w tym mikrofonów i kamer.
Reguły są zapisywane w bazie danych chronionej przez ochronę integralności systemu (SIP), która zapewnia, że tylko demon TCC może modyfikować bazę danych.
Na podstawie swojej analizy naukowcy stwierdzili, że CloudMensis wykorzystuje kilka technik, aby ominąć TCC i uniknąć monitów o pozwolenie, uzyskując nieograniczony dostęp do wrażliwych obszarów komputera, takich jak ekran, pamięć wymienna i klawiatura.
Na komputerach z wyłączonym SIP oprogramowanie szpiegujące po prostu przyzna sobie uprawnienia dostępu do wrażliwych urządzeń, dodając nowe reguły do bazy danych TCC. Jednak na komputerach, na których jest aktywny SIP, CloudMensis wykorzysta znane luki, aby nakłonić TCC do załadowania bazy danych, do której może zapisywać oprogramowanie szpiegujące.
Chroń się
„Zwykle zakładamy, że kupując produkt Mac, jest on całkowicie bezpieczny przed złośliwym oprogramowaniem i zagrożeniami cybernetycznymi, ale nie zawsze tak jest” – powiedział w rozmowie z Lifewire George Gerchow, dyrektor ds. bezpieczeństwa w Sumo Logic..
Gerchow wyjaśnił, że obecnie sytuacja jest jeszcze bardziej niepokojąca, ponieważ wiele osób pracuje w domu lub w środowisku hybrydowym przy użyciu komputerów osobistych. „To łączy dane osobowe z danymi przedsiębiorstwa, tworząc pulę wrażliwych i pożądanych danych dla hakerów” – zauważył Gerchow.
Podczas gdy badacze sugerują uruchomienie aktualnego komputera Mac, aby przynajmniej zapobiec omijaniu TCC przez oprogramowanie szpiegujące, Gerchow uważa, że bliskość urządzeń osobistych i danych korporacyjnych wymaga korzystania z kompleksowego oprogramowania monitorującego i zabezpieczającego.
„Ochrona punktów końcowych, często używana przez przedsiębiorstwa, może być instalowana indywidualnie przez [osoby] w celu monitorowania i ochrony punktów wejścia w sieciach lub systemach opartych na chmurze przed wyrafinowanym złośliwym oprogramowaniem i ewoluującymi zagrożeniami dnia zerowego” - zasugerował Gerchow. „Dzięki rejestrowaniu danych użytkownicy mogą wykrywać nowy, potencjalnie nieznany ruch i pliki wykonywalne w swojej sieci”.
Może to brzmieć jak przesada, ale nawet badacze nie są przeciwni stosowaniu kompleksowych zabezpieczeń w celu ochrony ludzi przed oprogramowaniem szpiegującym, odnosząc się do trybu blokady, który Apple ma wprowadzić na iOS, iPadOS i macOS. Ma to na celu umożliwienie ludziom łatwego wyłączenia funkcji, które atakujący często wykorzystują do szpiegowania ludzi.
„Chociaż nie jest to najbardziej zaawansowane złośliwe oprogramowanie, CloudMensis może być jednym z powodów, dla których niektórzy użytkownicy chcieliby włączyć tę dodatkową ochronę [nowy tryb blokady]” – zauważyli badacze. „Wyłączenie punktów wejścia, kosztem mniej płynnego doświadczenia użytkownika, brzmi jak rozsądny sposób na zmniejszenie powierzchni ataku.„
