Kulcs elvitelek
- A kutatók egy soha nem látott macOS kémprogramot fedeztek fel a vadonban.
- Nem a legfejlettebb rosszindulatú program, és céljai eléréséhez az emberek rossz biztonsági higiéniájára támaszkodik.
-
A biztonsági szakértők szerint ennek ellenére az átfogó biztonsági mechanizmusokra, például az Apple közelgő Lockdown módjára van szükség.
Biztonsági kutatók egy új macOS kémprogramot fedeztek fel, amely a már javított sebezhetőségeket kihasználva megkerüli a macOS-be épített védelmet. Felfedezése rávilágít az operációs rendszer frissítéseivel való lépéstartás fontosságára.
A Dubbed CloudMensis, a korábban ismeretlen kémprogram, amelyet az ESET kutatói fedeztek fel, kizárólag nyilvános felhőalapú tárolási szolgáltatásokat használ, mint például a pCloud, a Dropbox és mások a támadókkal való kommunikációra és a fájlok kiszűrésére. Aggasztó, hogy rengeteg sebezhetőséget használ ki a macOS beépített védelmének megkerülésére, hogy ellopja a fájlokat.
"Képességei egyértelműen azt mutatják, hogy kezelőinek célja az, hogy információkat gyűjtsenek az áldozatok Mac-jeiről dokumentumok, billentyűleütések és képernyőfelvételek kiszűrésével" - írta Marc-Etienne M. Léveillé, az ESET kutatója. "A sebezhetőségek használata a macOS-enyhítések megkerülésére azt mutatja, hogy a rosszindulatú programok üzemeltetői aktívan próbálják maximalizálni kémműveleteik sikerét."
Állandó kémprogramok
ESET kutatói először 2022 áprilisában vették észre az új kártevőt, és rájöttek, hogy az a régebbi Intel és az újabb Apple szilícium alapú számítógépeket is megtámadhatja.
A kémprogramok talán legszembetűnőbb aspektusa az, hogy miután egy áldozat Mac-én telepítették, a CloudMensis nem riad vissza attól, hogy kihasználja a javítatlan Apple sebezhetőségeket azzal a szándékkal, hogy megkerülje a macOS Transparency Consent and Control (TCC) rendszerét.
A TCC célja, hogy felkérje a felhasználót, hogy adjon engedélyt az alkalmazásoknak képernyőképek készítésére vagy a billentyűzet eseményeinek megfigyelésére. Megakadályozza, hogy az alkalmazások hozzáférjenek az érzékeny felhasználói adatokhoz, mivel lehetővé teszi a macOS-felhasználók számára, hogy konfigurálják a rendszerükre telepített alkalmazások adatvédelmi beállításait és a Mac-hez csatlakoztatott eszközöket, beleértve a mikrofonokat és a kamerákat is.
A szabályok a System Integrity Protection (SIP) által védett adatbázisban vannak elmentve, amely biztosítja, hogy csak a TCC démon tudja módosítani az adatbázist.
Elemzésük alapján a kutatók azt állítják, hogy a CloudMensis néhány technikát alkalmaz a TCC megkerülésére és az engedélykérések elkerülésére, így akadálytalanul hozzáfér a számítógép érzékeny területeihez, például a képernyőhöz, a cserélhető tárolóhoz és a billentyűzet.
Azokon a számítógépeken, amelyeken a SIP le van tiltva, a kémprogram egyszerűen engedélyt ad magának az érzékeny eszközök eléréséhez azáltal, hogy új szabályokat ad a TCC adatbázishoz. Azokon a számítógépeken azonban, amelyeken aktív a SIP, a CloudMensis az ismert sebezhetőségeket kihasználva ráveszi a TCC-t, hogy betöltsön egy adatbázist, amelybe a kémprogramok írhatnak.
Védd meg magad
"Általában azt feltételezzük, hogy amikor egy Mac-terméket vásárolunk, az teljesen biztonságos a rosszindulatú programoktól és a számítógépes fenyegetésektől, de ez nem mindig van így" - mondta George Gerchow, a Sumo Logic biztonsági igazgatója a Lifewire-nek egy e-mail üzenetváltásban..
Gerchow elmagyarázta, hogy a helyzet manapság még aggasztóbb, mivel sokan otthonról vagy hibrid környezetben dolgoznak személyi számítógépekkel. "Ez egyesíti a személyes adatokat a vállalati adatokkal, sérülékeny és kívánatos adatok készletét hozva létre a hackerek számára" - jegyezte meg Gerchow.
Míg a kutatók azt javasolják, hogy futtasson egy naprakész Mac-et, hogy legalább megakadályozza, hogy a kémprogramok megkerüljék a TCC-t, Gerchow úgy véli, hogy a személyes eszközök és a vállalati adatok közelsége átfogó felügyeleti és védelmi szoftver használatát teszi szükségessé.
"A vállalatok által gyakran használt végpontvédelmet [emberek] egyenként telepíthetik a hálózatok vagy felhőalapú rendszerek belépési pontjainak megfigyelésére és védelmére a kifinomult rosszindulatú programok és a fejlődő nulladik napi fenyegetések ellen" - javasolta Gerchow.. "Az adatok naplózásával a felhasználók új, potenciálisan ismeretlen forgalmat és végrehajtható fájlokat észlelhetnek hálózatukon."
Túlzásnak tűnhet, de még a kutatók sem idegenkednek az átfogó védelemtől, hogy megvédjék az embereket a kémprogramoktól, utalva arra a Lockdown Mode-ra, amelyet az Apple iOS-en, iPadOS-en és macOS-en vezet be. Célja, hogy lehetőséget adjon az embereknek arra, hogy egyszerűen letiltsák azokat a funkciókat, amelyeket a támadók gyakran kihasználnak emberek utáni kémkedésre.
"Bár nem a legfejlettebb rosszindulatú program, a CloudMensis lehet az egyik oka annak, hogy egyes felhasználók engedélyezni szeretnék ezt a kiegészítő védelmet [az új Lockdown módot]" - jegyezték meg a kutatók. "A belépési pontok letiltása a kevésbé gördülékeny felhasználói élmény rovására ésszerű módja a támadási felület csökkentésének."
