Keeawayt
- Tutkijat ovat havainneet luonnossa ennennäkemättömän macOS-vakoiluohjelman.
- Se ei ole edistyksellisin haittaohjelma, ja se luottaa ihmisten huonoon turvallisuushygieniaan saavuttaakseen tavoitteensa.
-
Kattavat suojausmekanismit, kuten Applen tuleva lukitustila, ovat kuitenkin hetken tarve, turvallisuusasiantuntijat väittävät.
Turvatutkijat ovat havainneet uuden macOS-vakoiluohjelman, joka hyödyntää jo korjattuja haavoittuvuuksia kiertääkseen macOS:ään rakennettuja suojauksia. Sen löytö korostaa käyttöjärjestelmän päivitysten pysymisen tärkeyttä.
Dubbed CloudMensis, aiemmin tuntematon vakoiluohjelma, jonka ESETin tutkijat havaitsivat, käyttää yksinomaan julkisia pilvitallennuspalveluita, kuten pCloudia, Dropboxia ja muita, kommunikoimaan hyökkääjien kanssa ja poistamaan tiedostoja. Huolestuttavaa on, että se hyödyntää lukuisia haavoittuvuuksia ohittaakseen macOS:n sisäänrakennetut suojaukset ja varastaakseen tiedostojasi.
"Sen kyvyt osoittavat selvästi, että sen käyttäjien tarkoitus on kerätä tietoja uhrien Mac-tietokoneista tutkimalla asiakirjoja, näppäinpainalluksia ja kuvakaappauksia", kirjoitti ESETin tutkija Marc-Etienne M. Léveillé. "Haavoittuvuuksien käyttö macOS-vähennysten kiertämiseen osoittaa, että haittaohjelmaoperaattorit yrittävät aktiivisesti maksimoida vakoilutoimintojensa onnistumisen."
Jatkuva vakoiluohjelma
ESET-tutkijat huomasivat uuden haittaohjelman ensimmäisen kerran huhtikuussa 2022 ja huomasivat, että se voisi hyökätä sekä vanhempiin Intel- että uudempiin Applen silikonipohjaisiin tietokoneisiin.
Vakoiluohjelmien silmiinpistävin näkökohta on se, että CloudMensis ei epäröi hyödyntää korjaamattomia Applen haavoittuvuuksia MacOS Transparency Consent and Control (TCC) -järjestelmän ohittamisen jälkeen, kun se on otettu käyttöön uhrin Macissa.
TCC on suunniteltu kehottamaan käyttäjää myöntämään sovelluksille lupa ottaa kuvakaappauksia tai seurata näppäimistötapahtumia. Se estää sovelluksia pääsemästä arkaluontoisiin käyttäjätietoihin antamalla macOS-käyttäjien määrittää yksityisyysasetukset sovelluksille, jotka on asennettu heidän järjestelmiinsä ja Mac-tietokoneisiinsa yhdistettyihin laitteisiin, mukaan lukien mikrofonit ja kamerat.
Säännöt tallennetaan tietokantaan, joka on suojattu System Integrity Protection (SIP) -suojauksella, mikä varmistaa, että vain TCC-demoni voi muokata tietokantaa.
Analyyseihinsä perustuen tutkijat toteavat, että CloudMensis käyttää paria tekniikkaa ohittaakseen TCC:n ja välttääkseen lupakehotteita ja päästäkseen esteettömästi tietokoneen herkkiin alueisiin, kuten näyttöön, irrotettavaan tallennustilaan ja näppäimistö.
Tietokoneissa, joissa SIP on poistettu käytöstä, vakoiluohjelmat yksinkertaisesti myöntävät itselleen luvan käyttää herkkiä laitteita lisäämällä uusia sääntöjä TCC-tietokantaan. Kuitenkin tietokoneissa, joissa SIP on aktiivinen, CloudMensis käyttää tunnettuja haavoittuvuuksia huijatakseen TCC:tä lataamaan tietokannan, johon vakoiluohjelmat voivat kirjoittaa.
Suojele itseäsi
"Yleensä oletamme, että ostaessamme Mac-tuotteen se on täysin turvassa haittaohjelmilta ja kyberuhkilta, mutta näin ei aina ole", George Gerchow, Sumo Logicin turvallisuusjohtaja, kertoi Lifewirelle sähköpostinvaihdossa..
Gerchow selitti, että tilanne on nykyään vielä huolestuttavampi, koska monet ihmiset työskentelevät kotona tai hybridiympäristössä henkilökohtaisten tietokoneiden avulla. "Tämä yhdistää henkilötiedot yritystietoihin, luoden haavoittuvia ja haluttuja tietoja hakkereille", Gerchow huomautti.
Vaikka tutkijat ehdottavat, että käytät ajan tasalla olevaa Macia, jotta ainakin estetään vakoiluohjelmia ohittamasta TCC:tä, Gerchow uskoo, että henkilökohtaisten laitteiden ja yritystietojen läheisyys vaatii kattavan valvonta- ja suojausohjelmiston käyttöä.
"Yritysten usein käyttämä päätepistesuojaus voidaan asentaa [ihmiset] yksitellen valvoakseen ja suojatakseen verkkojen tai pilvipohjaisten järjestelmien sisääntulopisteitä kehittyneiltä haittaohjelmilta ja kehittyviltä nollapäivän uhilta", Gerchow ehdotti.. "Kirjaamalla tietoja käyttäjät voivat havaita uutta, mahdollisesti tuntematonta liikennettä ja suoritettavat tiedostot verkossaan."
Se saattaa kuulostaa liioitellulta, mutta tutkijatkaan eivät vastusta kattavien suojausten käyttöä ihmisten suojelemiseksi vakoiluohjelmilta, viitaten lukitustilaan, jonka Apple aikoo ottaa käyttöön iOS:ssä, iPadOS:ssä ja macOS:ssä. Sen tarkoituksena on antaa ihmisille mahdollisuus poistaa helposti käytöstä ominaisuuksia, joita hyökkääjät usein käyttävät hyväkseen vakoillessaan ihmisiä.
"Vaikka CloudMensis ei ole edistyksellisin haittaohjelma, se voi olla yksi niistä syistä, miksi jotkut käyttäjät haluavat ottaa tämän lisäsuojan [uuden lukitustilan] käyttöön", tutkijat totesivat. "Sisääntulopisteiden poistaminen käytöstä sujuvan käyttökokemuksen kustannuksella kuulostaa järkevältä tav alta vähentää hyökkäyspintaa."
