Key Takeaways
- Istraživači su uočili nikad viđeni macOS špijunski softver u divljini.
- To nije najnapredniji zlonamjerni softver i oslanja se na lošu sigurnosnu higijenu ljudi da bi postigao svoje ciljeve.
-
Ipak, sveobuhvatni sigurnosni mehanizmi, kao što je Appleov nadolazeći način zaključavanja, su potreba sata, tvrde stručnjaci za sigurnost.
Istraživači sigurnosti uočili su novi macOS špijunski softver koji iskorištava već zakrpljene ranjivosti za zaobilaženje zaštite ugrađene u macOS. Njegovo otkriće naglašava važnost praćenja ažuriranja operativnog sistema.
Dubbed CloudMensis, ranije nepoznati špijunski softver, koji su uočili istraživači u ESET-u, isključivo koristi javne usluge skladištenja u oblaku kao što su pCloud, Dropbox i drugi za komunikaciju sa napadačima i za eksfiltraciju datoteka. Zabrinjavajuće, koristi mnoštvo ranjivosti da zaobiđe ugrađenu zaštitu macOS-a kako bi ukrao vaše fajlove.
"Njegove mogućnosti jasno pokazuju da je namjera njegovih operatera prikupljanje informacija sa Mac računara žrtava eksfiltriranjem dokumenata, pritisaka na tipke i snimaka ekrana", napisao je istraživač ESET-a Marc-Etienne M. Léveillé. "Upotreba ranjivosti za zaobilaženje ublažavanja macOS-a pokazuje da operateri zlonamjernog softvera aktivno pokušavaju maksimizirati uspjeh svojih špijunskih operacija."
Perzistentni špijunski softver
Istraživači ESET-a prvi put su uočili novi zlonamjerni softver u aprilu 2022. i shvatili da bi mogao napasti i starije Intel i novije Apple računare bazirane na silikonu.
Možda najupečatljiviji aspekt špijunskog softvera je da nakon što se postavi na Mac žrtve, CloudMensis ne preza od iskorištavanja nezakrpljenih Apple ranjivosti s namjerom da zaobiđe macOS Transparency Consent and Control (TCC) sistem.
TCC je dizajniran da zatraži od korisnika da odobri aplikacijama za snimanje ekrana ili praćenje događaja na tastaturi. Blokira aplikacijama pristup osjetljivim korisničkim podacima omogućavajući korisnicima macOS-a da konfigurišu postavke privatnosti za aplikacije instalirane na njihovim sistemima i uređajima povezanim na njihove Mac računare, uključujući mikrofone i kamere.
Pravila se čuvaju unutar baze podataka zaštićene zaštitom integriteta sistema (SIP), koja osigurava da samo TCC demon može modificirati bazu podataka.
Na osnovu svoje analize, istraživači navode da CloudMensis koristi nekoliko tehnika da zaobiđe TCC i izbjegne bilo kakve upite za dozvolu, čime se postiže nesmetan pristup osjetljivim područjima računara, kao što su ekran, prenosiva pohrana i tastatura.
Na računarima sa onemogućenim SIP-om, špijunski softver će jednostavno sebi dodijeliti dozvole za pristup osjetljivim uređajima dodavanjem novih pravila u TCC bazu podataka. Međutim, na računarima na kojima je SIP aktivan, CloudMensis će iskoristiti poznate ranjivosti da prevari TCC da učita bazu podataka u koju špijunski softver može pisati.
Zaštitite se
"Obično pretpostavljamo da je kada kupimo Mac proizvod potpuno bezbedan od zlonamjernog softvera i sajber prijetnji, ali to nije uvijek slučaj", rekao je George Gerchow, glavni službenik za sigurnost, Sumo Logic, za Lifewire u razmjeni e-pošte.
Gerchow je objasnio da je situacija ovih dana još više zabrinjavajuća s mnogim ljudima koji rade od kuće ili u hibridnom okruženju koristeći personalne računare. "Ovo kombinuje lične podatke sa podacima preduzeća, stvarajući skup ranjivih i poželjnih podataka za hakere", primetio je Gerchow.
Dok istraživači predlažu da koristite ažurirani Mac kako bi barem spriječili špijunski softver da zaobiđe TCC, Gerchow vjeruje da blizina ličnih uređaja i podataka preduzeća zahtijeva korištenje sveobuhvatnog softvera za nadzor i zaštitu.
"Zaštitu krajnjih tačaka, koju preduzeća često koriste, [ljudi] mogu pojedinačno instalirati za nadgledanje i zaštitu ulaznih tačaka na mrežama ili sistemima zasnovanim na oblaku od sofisticiranog zlonamjernog softvera i evoluirajućih prijetnji nultog dana", predložio je Gerchow. "Zapisivanjem podataka, korisnici mogu otkriti novi, potencijalno nepoznati promet i izvršne datoteke unutar svoje mreže."
Možda zvuči kao pretjerano, ali čak ni istraživači nisu skloni korištenju sveobuhvatne zaštite kako bi zaštitili ljude od špijunskog softvera, pozivajući se na način zaključavanja koji će Apple uvesti na iOS, iPadOS i macOS. Namjera mu je dati ljudima mogućnost da lako onemoguće funkcije koje napadači često koriste da bi špijunirali ljude.
"Iako nije najnapredniji zlonamjerni softver, CloudMensis može biti jedan od razloga zašto bi neki korisnici željeli omogućiti ovu dodatnu odbranu [novi način zaključavanja]", napominju istraživači. „Onemogućavanje ulaznih tačaka, na račun manje fluidnog korisničkog iskustva, zvuči kao razuman način da se smanji površina napada."