Ключови изводи
- Изследователи са забелязали невиждан досега шпионски софтуер на macOS в природата.
- Това не е най-модерният зловреден софтуер и разчита на лошата хигиена на сигурността на хората, за да постигне целите си.
-
Все пак всеобхватните механизми за сигурност, като предстоящия режим на заключване на Apple, са необходимостта на момента, твърдят експерти по сигурността.
Изследователи по сигурността забелязаха нов шпионски софтуер за macOS, който използва вече коригирани уязвимости, за да заобиколи защитите, вградени в macOS. Неговото откритие подчертава важността на поддържането на актуализации на операционната система.
Наричан CloudMensis, неизвестният досега шпионски софтуер, забелязан от изследователи в ESET, използва изключително публични услуги за съхранение в облак като pCloud, Dropbox и други, за да комуникира с нападателите и за ексфилтриране на файлове. Притеснителното е, че използва множество уязвимости, за да заобиколи вградените защити на macOS, за да открадне вашите файлове.
"Възможностите му ясно показват, че намерението на неговите оператори е да събират информация от Mac компютрите на жертвите чрез ексфилтриране на документи, натискания на клавиши и екранни снимки", пише изследователят на ESET Марк-Етиен М. Левейле. „Използването на уязвимости за заобикаляне на смекчаването на macOS показва, че операторите на злонамерен софтуер активно се опитват да увеличат максимално успеха на своите шпионски операции.“
Устойчив шпионски софтуер
Изследователите на ESET за пръв път забелязаха новия злонамерен софтуер през април 2022 г. и разбраха, че може да атакува както по-старите Intel, така и по-новите силиконови компютри на Apple.
Може би най-впечатляващият аспект на шпионския софтуер е, че след като бъде внедрен на Mac на жертвата, CloudMensis не се свени да използва непоправени уязвимости на Apple с намерението да заобиколи системата за съгласие и контрол за прозрачност на macOS (TCC).
TCC е предназначен да подкани потребителя да даде разрешение на приложенията да правят снимки на екрана или да наблюдават събития на клавиатурата. Той блокира достъпа на приложения до чувствителни потребителски данни, като позволява на потребителите на macOS да конфигурират настройки за поверителност за приложения, инсталирани на техните системи и устройства, свързани с техните Mac компютри, включително микрофони и камери.
Правилата се записват в база данни, защитена от System Integrity Protection (SIP), което гарантира, че само TCC демонът може да променя базата данни.
Въз основа на техния анализ изследователите заявяват, че CloudMensis използва няколко техники за заобикаляне на TCC и избягване на подкани за разрешение, като получава безпрепятствен достъп до чувствителните зони на компютъра, като екрана, сменяемото хранилище и клавиатура.
На компютри с деактивиран SIP, шпионският софтуер просто ще си даде разрешения за достъп до чувствителните устройства, като добави нови правила към базата данни на TCC. Въпреки това, на компютри, на които SIP е активен, CloudMensis ще използва известни уязвимости, за да подмами TCC да зареди база данни, в която шпионският софтуер може да пише.
Защитете се
„Обикновено приемаме, че когато купуваме продукт на Mac, той е напълно безопасен от злонамерен софтуер и кибер заплахи, но това не винаги е така“, каза Джордж Герчоу, главен служител по сигурността, Sumo Logic, за Lifewire в размяна на имейли.
Герхов обясни, че ситуацията е още по-притеснителна в наши дни, тъй като много хора работят от вкъщи или в хибридна среда, използвайки персонални компютри. „Това съчетава лични данни с корпоративни данни, създавайки набор от уязвими и желани данни за хакерите“, отбеляза Герхов.
Докато изследователите предлагат да използвате актуален Mac, за да попречите на шпиониращия софтуер да заобиколи TCC, Gerchow вярва, че близостта на личните устройства и повикванията за корпоративни данни за използването на цялостен софтуер за наблюдение и защита.
"Защитата на крайната точка, често използвана от предприятията, може да се инсталира индивидуално от [хора] за наблюдение и защита на входни точки в мрежи или базирани на облак системи от сложен злонамерен софтуер и развиващи се заплахи от нулевия ден", предложи Gerchow. „Чрез регистриране на данни потребителите могат да открият нов, потенциално неизвестен трафик и изпълними файлове в своята мрежа.“
Може да звучи като пресилено, но дори изследователите не са склонни да използват всеобхватни защити, за да предпазят хората от шпионски софтуер, като се има предвид режимът на заключване, който Apple ще въведе в iOS, iPadOS и macOS. Има за цел да даде на хората възможност лесно да деактивират функции, които нападателите често използват, за да шпионират хората.
„Въпреки че не е най-модерният зловреден софтуер, CloudMensis може да е една от причините някои потребители да искат да активират тази допълнителна защита [новия режим на заключване],“отбелязват изследователите. „Деактивирането на входни точки, за сметка на по-малко течно потребителско изживяване, звучи като разумен начин за намаляване на повърхността на атака."
