Βασικά Takeaways
- Ερευνητές εντόπισαν ένα λογισμικό κατασκοπείας macOS που δεν έχει ξαναδεί στη φύση.
- Δεν είναι το πιο προηγμένο κακόβουλο λογισμικό και βασίζεται στην κακή υγιεινή ασφαλείας των ανθρώπων για την επίτευξη των στόχων του.
-
Παρόλα αυτά, οι ολοκληρωμένοι μηχανισμοί ασφαλείας, όπως η επερχόμενη λειτουργία Lockdown της Apple, είναι η ανάγκη της ώρας, υποστηρίζουν ειδικοί σε θέματα ασφάλειας.
Ερευνητές ασφαλείας εντόπισαν ένα νέο λογισμικό κατασκοπείας macOS που εκμεταλλεύεται ήδη διορθωμένα τρωτά σημεία για να αντιμετωπίσει τις προστασίες που είναι ενσωματωμένες στο macOS. Η ανακάλυψή του υπογραμμίζει τη σημασία της παρακολούθησης των ενημερώσεων του λειτουργικού συστήματος.
Το μεταγλωττισμένο CloudMensis, το προηγουμένως άγνωστο λογισμικό υποκλοπής spyware, που εντοπίστηκε από ερευνητές της ESET, χρησιμοποιεί αποκλειστικά υπηρεσίες δημόσιας αποθήκευσης cloud, όπως το pCloud, το Dropbox και άλλες, για να επικοινωνεί με τους εισβολείς και για αρχεία διείσδυσης. Ανησυχητικά, εκμεταλλεύεται μια πληθώρα ευπαθειών για να παρακάμψει τις ενσωματωμένες προστασίες του macOS για να κλέψει τα αρχεία σας.
"Οι δυνατότητές του δείχνουν ξεκάθαρα ότι η πρόθεση των χειριστών του είναι να συλλέγουν πληροφορίες από τους Mac των θυμάτων μέσω της διείσδυσης εγγράφων, πληκτρολογήσεων και καταγραφής οθόνης", έγραψε ο ερευνητής της ESET Marc-Etienne M. Léveillé. "Η χρήση τρωτών σημείων για τον μετριασμό του macOS δείχνει ότι οι χειριστές κακόβουλου λογισμικού προσπαθούν ενεργά να μεγιστοποιήσουν την επιτυχία των κατασκοπευτικών τους επιχειρήσεων."
Επίμονο λογισμικό κατασκοπείας
Ερευνητές της ESET εντόπισαν για πρώτη φορά το νέο κακόβουλο λογισμικό τον Απρίλιο του 2022 και συνειδητοποίησαν ότι θα μπορούσε να επιτεθεί τόσο στους παλαιότερους υπολογιστές Intel όσο και στους νεότερους υπολογιστές που βασίζονται σε πυρίτιο της Apple.
Ίσως η πιο εντυπωσιακή πτυχή του spyware είναι ότι μετά την ανάπτυξη του στο Mac ενός θύματος, το CloudMensis δεν διστάζει να εκμεταλλευτεί μη επιδιορθωμένα τρωτά σημεία της Apple με σκοπό να παρακάμψει το σύστημα συναίνεσης και ελέγχου διαφάνειας του macOS (TCC).
Το TCC έχει σχεδιαστεί για να ζητά από τον χρήστη να παραχωρήσει στις εφαρμογές άδεια λήψης λήψεων οθόνης ή παρακολούθησης συμβάντων πληκτρολογίου. Αποκλείει την πρόσβαση των εφαρμογών σε ευαίσθητα δεδομένα χρήστη, επιτρέποντας στους χρήστες macOS να διαμορφώνουν τις ρυθμίσεις απορρήτου για τις εφαρμογές που είναι εγκατεστημένες στα συστήματα και τις συσκευές τους που είναι συνδεδεμένες στους Mac τους, συμπεριλαμβανομένων των μικροφώνων και των καμερών.
Οι κανόνες αποθηκεύονται σε μια βάση δεδομένων που προστατεύεται από το System Integrity Protection (SIP), το οποίο διασφαλίζει ότι μόνο ο δαίμονας TCC μπορεί να τροποποιήσει τη βάση δεδομένων.
Με βάση την ανάλυσή τους, οι ερευνητές δηλώνουν ότι το CloudMensis χρησιμοποιεί μερικές τεχνικές για να παρακάμψει το TCC και να αποφύγει τυχόν προτροπές άδειας, αποκτώντας ανεμπόδιστη πρόσβαση στις ευαίσθητες περιοχές του υπολογιστή, όπως η οθόνη, η αφαιρούμενη αποθήκευση και το πληκτρολόγιο.
Σε υπολογιστές με απενεργοποιημένο το SIP, το λογισμικό υποκλοπής θα εκχωρήσει απλώς στον εαυτό του δικαιώματα πρόσβασης στις ευαίσθητες συσκευές προσθέτοντας νέους κανόνες στη βάση δεδομένων TCC. Ωστόσο, σε υπολογιστές στους οποίους είναι ενεργό το SIP, το CloudMensis θα εκμεταλλευτεί γνωστά τρωτά σημεία για να εξαπατήσει το TCC για να φορτώσει μια βάση δεδομένων στην οποία μπορεί να γράψει το λογισμικό κατασκοπίας.
Προστατεύστε τον εαυτό σας
"Τυπικά υποθέτουμε ότι όταν αγοράζουμε ένα προϊόν Mac είναι απολύτως ασφαλές από κακόβουλο λογισμικό και απειλές στον κυβερνοχώρο, αλλά αυτό δεν συμβαίνει πάντα", είπε ο George Gerchow, Chief Security Officer, Sumo Logic, στο Lifewire σε ανταλλαγή email..
Ο Gerchow εξήγησε ότι η κατάσταση είναι ακόμη πιο ανησυχητική αυτές τις μέρες, καθώς πολλοί άνθρωποι εργάζονται από το σπίτι ή σε υβριδικό περιβάλλον χρησιμοποιώντας προσωπικούς υπολογιστές. "Αυτό συνδυάζει προσωπικά δεδομένα με εταιρικά δεδομένα, δημιουργώντας μια δεξαμενή ευάλωτων και επιθυμητών δεδομένων για τους χάκερ", σημείωσε ο Gerchow.
Ενώ οι ερευνητές προτείνουν τη λειτουργία ενός ενημερωμένου Mac για να αποτρέψει τουλάχιστον το spyware από το να παρακάμψει το TCC, ο Gerchow πιστεύει ότι η εγγύτητα των προσωπικών συσκευών και των εταιρικών δεδομένων απαιτεί τη χρήση ολοκληρωμένου λογισμικού παρακολούθησης και προστασίας.
"Η προστασία τελικού σημείου, που χρησιμοποιείται συχνά από επιχειρήσεις, μπορεί να εγκατασταθεί μεμονωμένα από [άτομα] για την παρακολούθηση και προστασία των σημείων εισόδου σε δίκτυα ή συστήματα που βασίζονται σε σύννεφο, από εξελιγμένα κακόβουλα προγράμματα και εξελισσόμενες απειλές zero-day ", πρότεινε ο Gerchow. "Με την καταγραφή δεδομένων, οι χρήστες μπορούν να εντοπίσουν νέα, δυνητικά άγνωστη κίνηση και εκτελέσιμα αρχεία στο δίκτυό τους."
Μπορεί να ακούγεται υπερβολικό, αλλά ακόμη και οι ερευνητές δεν είναι αντίθετοι με τη χρήση ολοκληρωμένων προστασιών για την προστασία των ανθρώπων από λογισμικό υποκλοπής spyware, αναφερόμενος στη λειτουργία κλειδώματος που πρόκειται να εισαγάγει η Apple σε iOS, iPadOS και macOS. Σκοπός του είναι να δώσει στους ανθρώπους την επιλογή να απενεργοποιούν εύκολα λειτουργίες που οι εισβολείς εκμεταλλεύονται συχνά για να κατασκοπεύουν άτομα.
"Αν και δεν είναι το πιο προηγμένο κακόβουλο λογισμικό, το CloudMensis μπορεί να είναι ένας από τους λόγους που ορισμένοι χρήστες θα ήθελαν να ενεργοποιήσουν αυτήν την πρόσθετη άμυνα [τη νέα λειτουργία Lockdown]", σημείωσαν οι ερευνητές. «Η απενεργοποίηση των σημείων εισόδου, σε βάρος μιας λιγότερο ρευστή εμπειρίας χρήστη, ακούγεται σαν ένας λογικός τρόπος για να μειωθεί η επιφάνεια επίθεσης."