Sleutel wegneemetes
- Navorsers het 'n macOS-spioenware wat nog nooit gesien is nie in die natuur opgemerk.
- Dit is nie die mees gevorderde wanware nie en maak staat op mense se swak sekuriteitshigiëne om sy doelwitte te bereik.
-
Tog is omvattende sekuriteitsmeganismes, soos Apple se komende Lockdown-modus, die behoefte van die uur, argumenteer sekuriteitskenners.
Veiligheidsnavorsers het 'n nuwe macOS-spioenware opgemerk wat reeds gelapte kwesbaarhede uitbuit om beskerming te werk wat in macOS ingebou is. Die ontdekking daarvan beklemtoon hoe belangrik dit is om tred te hou met bedryfstelselopdaterings.
Dubbed CloudMensis, die voorheen onbekende spyware, wat deur navorsers by ESET opgemerk is, gebruik uitsluitlik openbare wolkbergingsdienste soos pCloud, Dropbox en ander om met die aanvallers te kommunikeer en om lêers te eksfiltreer. Dit is kommerwekkend dat dit 'n oorvloed kwesbaarhede ontgin om macOS se ingeboude beskerming te omseil om jou lêers te steel.
"Die vermoëns daarvan wys duidelik dat die bedoeling van sy operateurs is om inligting van die slagoffers se Macs in te samel deur dokumente, toetsaanslagen en skermopnames te eksfiltreer," het ESET-navorser Marc-Etienne M. Léveillé geskryf. "Die gebruik van kwesbaarhede om macOS-versagtings te omseil, wys dat die wanware-operateurs aktief probeer om die sukses van hul spioenasiebedrywighede te maksimeer."
Volgehoue spioenware
ESET-navorsers het die nuwe wanware vir die eerste keer in April 2022 opgemerk en besef dat dit beide die ouer Intel en die nuwer Apple silikon-gebaseerde rekenaars kan aanval.
Miskien is die opvallendste aspek van die spyware dat CloudMensis, nadat dit op 'n slagoffer se Mac ontplooi is, nie terugdeins om ongelapte Apple-kwesbaarhede te ontgin met die doel om die macOS Transparency Consent and Control (TCC)-stelsel te omseil nie.
TCC is ontwerp om die gebruiker te vra om programme toestemming te gee om skermopnames te neem of sleutelbordgebeure te monitor. Dit blokkeer programme om toegang tot sensitiewe gebruikerdata te verkry deur macOS-gebruikers in staat te stel om privaatheidinstellings op te stel vir programme wat op hul stelsels geïnstalleer is en toestelle wat aan hul Mac's gekoppel is, insluitend mikrofone en kameras.
Die reëls word gestoor binne 'n databasis wat deur die System Integrity Protection (SIP) beskerm word, wat verseker dat slegs die TCC-demoon die databasis kan wysig.
Op grond van hul ontleding verklaar die navorsers dat CloudMensis 'n paar tegnieke gebruik om TCC te omseil en enige toestemmingsaanwysings te vermy, om ongehinderde toegang tot die sensitiewe areas van die rekenaar te verkry, soos die skerm, verwyderbare berging en die sleutelbord.
Op rekenaars met SIP gedeaktiveer, sal die spyware eenvoudig aan homself toestemming verleen om toegang tot die sensitiewe toestelle te verkry deur nuwe reëls by die TCC-databasis te voeg. Op rekenaars waarop SIP egter aktief is, sal CloudMensis bekende kwesbaarhede uitbuit om TCC te mislei om 'n databasis te laai waarna die spyware kan skryf.
Beskerm jouself
"Ons neem gewoonlik aan wanneer ons 'n Mac-produk koop, is dit heeltemal veilig teen wanware en kuberbedreigings, maar dit is nie altyd die geval nie," het George Gerchow, hoofsekuriteitsbeampte, Sumo Logic, in 'n e-pos aan Lifewire gesê.
Gerchow het verduidelik die situasie is deesdae selfs meer kommerwekkend met baie mense wat van die huis af werk of in 'n hibriede omgewing wat persoonlike rekenaars gebruik. "Dit kombineer persoonlike data met ondernemingsdata en skep 'n poel van kwesbare en wenslike data vir kuberkrakers," het Gerchow opgemerk.
Terwyl die navorsers voorstel om 'n bygewerkte Mac te gebruik om ten minste te verhoed dat die spyware TCC omseil, glo Gerchow die nabyheid van persoonlike toestelle en ondernemingsdata vereis die gebruik van omvattende monitering- en beskermingsagteware.
"Eindpuntbeskerming, wat gereeld deur ondernemings gebruik word, kan individueel deur [mense] geïnstalleer word om toegangspunte op netwerke of wolkgebaseerde stelsels te monitor en te beskerm teen gesofistikeerde wanware en ontwikkelende nul-dag-bedreigings," het Gerchow voorgestel. "Deur data aan te teken, kan gebruikers nuwe, potensieel onbekende verkeer en uitvoerbares binne hul netwerk opspoor."
Dit klink dalk na oordrewe, maar selfs die navorsers is nie huiwerig om omvattende beskerming te gebruik om mense teen spioenware te beskerm nie, met verwysing na die afsluitmodus wat Apple op iOS, iPadOS en macOS gaan bekendstel. Dit is bedoel om mense 'n opsie te gee om kenmerke wat aanvallers gereeld uitbuit maklik te deaktiveer om op mense te spioeneer.
"Alhoewel dit nie die mees gevorderde wanware is nie, kan CloudMensis een van die redes wees waarom sommige gebruikers hierdie bykomende verdediging [die nuwe Lockdown-modus] wil aktiveer," het die navorsers opgemerk. "Om toegangspunte te deaktiveer, ten koste van 'n minder vloeiende gebruikerservaring, klink na 'n redelike manier om die aanvaloppervlak te verminder."
