Nový malvér pre macOS na vás používa niekoľko trikov

Obsah:

Nový malvér pre macOS na vás používa niekoľko trikov
Nový malvér pre macOS na vás používa niekoľko trikov
Anonim

Kľúčové poznatky

  • Výskumníci objavili vo voľnej prírode doposiaľ nevídaný spyware pre macOS.
  • Nie je to najpokročilejší malvér a pri dosahovaní svojich cieľov sa spolieha na nedostatočnú hygienu bezpečnosti ľudí.
  • Napriek tomu, komplexné bezpečnostné mechanizmy, ako je nadchádzajúci režim Lockdown od spoločnosti Apple, sú stále potrebné, tvrdia bezpečnostní experti.

Image
Image

Bezpečnostní výskumníci si všimli nový spyware pre macOS, ktorý využíva už opravené zraniteľnosti na obídenie ochrany zabudovanej v macOS. Jeho objav zdôrazňuje, že je dôležité držať krok s aktualizáciami operačného systému.

Dubbed CloudMensis, predtým neznámy spyware, ktorý si všimli výskumníci zo spoločnosti ESET, využíva na komunikáciu s útočníkmi a na exfiltráciu súborov výhradne služby verejného cloudového úložiska ako pCloud, Dropbox a iné. Je znepokojujúce, že využíva množstvo zraniteľností, aby obišiel vstavanú ochranu systému macOS a ukradol vaše súbory.

"Jeho schopnosti jasne ukazujú, že zámerom jeho operátorov je zhromažďovať informácie z počítačov Mac obetí exfiltráciou dokumentov, stlačenia klávesov a snímok obrazovky," napísal výskumník ESET Marc-Etienne M. Léveillé. "Používanie zraniteľností na obídenie zmierňovania macOS ukazuje, že prevádzkovatelia malvéru sa aktívne snažia maximalizovať úspech svojich špionážnych operácií."

Trvalý spyware

Výskumníci spoločnosti ESET prvýkrát zaznamenali nový malvér v apríli 2022 a uvedomili si, že by mohol napadnúť staršie počítače Intel aj novšie počítače Apple na báze kremíka.

Najvýraznejším aspektom spywaru je možno to, že po nasadení na Mac obete sa CloudMensis neštíti využívať neopravené zraniteľné miesta Apple so zámerom obísť systém macOS Transparency Consent and Control (TCC).

TCC je navrhnutý tak, aby vyzval používateľa, aby udelil aplikáciám povolenie na snímanie obrazovky alebo sledovanie udalostí klávesnice. Blokuje aplikáciám prístup k citlivým údajom používateľa tým, že používateľom systému macOS umožňuje konfigurovať nastavenia ochrany osobných údajov pre aplikácie nainštalované v ich systémoch a zariadeniach pripojených k ich počítačom Mac, vrátane mikrofónov a kamier.

Pravidlá sú uložené v databáze chránenej systémom System Integrity Protection (SIP), ktorý zabezpečuje, že databázu môže upravovať iba démon TCC.

Na základe svojej analýzy výskumníci uvádzajú, že CloudMensis používa niekoľko techník na obídenie TCC a vyhýbanie sa výzvam na povolenie, čím získava neobmedzený prístup k citlivým oblastiam počítača, ako je obrazovka, vymeniteľné úložisko a klávesnica.

Na počítačoch so zakázaným protokolom SIP si spyware jednoducho udelí povolenia na prístup k citlivým zariadeniam pridaním nových pravidiel do databázy TCC. Na počítačoch, na ktorých je aktívny SIP, však CloudMensis využije známe zraniteľnosti, aby oklamal TCC, aby načítal databázu, do ktorej môže spyware zapisovať.

Chráňte sa

„Pri kúpe produktu Mac zvyčajne predpokladáme, že je úplne bezpečný pred malvérom a kybernetickými hrozbami, ale nie vždy to tak je,“povedal pre Lifewire George Gerchow, šéf bezpečnosti, Sumo Logic..

Gerchow vysvetlil, že situácia je v súčasnosti ešte znepokojujúcejšia, keďže mnoho ľudí pracuje z domu alebo v hybridnom prostredí pomocou osobných počítačov. "Toto spája osobné údaje s podnikovými údajmi, čím sa vytvára rezerva zraniteľných a žiaducich údajov pre hackerov," poznamenal Gerchow.

Image
Image

Zatiaľ čo výskumníci navrhujú spustiť aktualizovaný Mac, aby aspoň zabránili spywaru obchádzať TCC, Gerchow verí, že blízkosť osobných zariadení a podnikových údajov si vyžaduje použitie komplexného monitorovacieho a ochranného softvéru.

"Ochranu koncových bodov, ktorú často používajú podniky, môžu [ľudia] inštalovať individuálne na monitorovanie a ochranu vstupných bodov v sieťach alebo cloudových systémoch pred sofistikovaným malvérom a vyvíjajúcimi sa hrozbami zero-day, " navrhol Gerchow. „Zaznamenaním údajov môžu používatelia zistiť novú, potenciálne neznámu prevádzku a spustiteľné súbory v rámci svojej siete.“

Môže to znieť ako prehnané, ale ani výskumníci sa nebránia použitiu komplexnej ochrany na ochranu ľudí pred spywarom, s odkazom na režim uzamknutia, ktorý Apple zavedie na iOS, iPadOS a macOS. Má ľuďom poskytnúť možnosť jednoducho deaktivovať funkcie, ktoré útočníci často využívajú na špehovanie ľudí.

„Aj keď nejde o najpokročilejší malvér, CloudMensis môže byť jedným z dôvodov, prečo by niektorí používatelia chceli povoliť túto dodatočnú obranu [nový režim uzamknutia],“poznamenali výskumníci. „Zakázanie vstupných bodov na úkor menej plynulého používateľského zážitku znie ako rozumný spôsob, ako znížiť plochu útoku."

Odporúča: