Ključni podaci za van
- Istraživači su u divljini uočili dosad neviđeni špijunski softver za macOS.
- To nije najnapredniji zlonamjerni softver i oslanja se na lošu sigurnosnu higijenu ljudi kako bi postigao svoje ciljeve.
-
Ipak, sveobuhvatni sigurnosni mehanizmi, kao što je Appleov nadolazeći Lockdown način rada, potreba su vremena, tvrde stručnjaci za sigurnost.
Istraživači sigurnosti uočili su novi špijunski softver za macOS koji iskorištava već zakrpane ranjivosti kako bi zaobišao zaštite ugrađene u macOS. Njegovo otkriće naglašava važnost praćenja ažuriranja operativnog sustava.
Nazvan CloudMensis, dosad nepoznati špijunski softver, koji su uočili istraživači u ESET-u, isključivo koristi javne servise za pohranu u oblaku kao što su pCloud, Dropbox i drugi za komunikaciju s napadačima i za eksfiltraciju datoteka. Zabrinjavajuće, iskorištava mnoštvo ranjivosti kako bi zaobišao ugrađene zaštite macOS-a i ukrao vaše datoteke.
"Njegove mogućnosti jasno pokazuju da je namjera njegovih operatera prikupljanje informacija sa žrtvinih Mac računala eksfiltracijom dokumenata, pritisaka na tipke i snimaka ekrana," napisao je istraživač ESET-a Marc-Etienne M. Léveillé. "Korištenje ranjivosti za zaobilaženje ublažavanja macOS-a pokazuje da operateri zlonamjernog softvera aktivno pokušavaju maksimalno povećati uspjeh svojih špijunskih operacija."
Postojani špijunski softver
Istraživači ESET-a su prvi put uočili novi zlonamjerni softver u travnju 2022. i shvatili da bi mogao napasti i starija Intelova i novija Apple računala temeljena na siliciju.
Možda je najupečatljiviji aspekt špijunskog softvera taj da nakon postavljanja na žrtvin Mac, CloudMensis ne bježi od iskorištavanja nezakrpanih Appleovih ranjivosti s namjerom zaobilaženja sustava macOS Transparency Consent and Control (TCC).
TCC je osmišljen kako bi od korisnika zatražio da aplikacijama da dozvolu za snimanje zaslona ili praćenje događaja na tipkovnici. Blokira aplikacijama pristup osjetljivim korisničkim podacima omogućujući korisnicima macOS-a da konfiguriraju postavke privatnosti za aplikacije instalirane na njihovim sustavima i uređaje povezane s njihovim Mac računalima, uključujući mikrofone i kamere.
Pravila se spremaju unutar baze podataka zaštićene zaštitom integriteta sustava (SIP), koja osigurava da samo TCC demon može mijenjati bazu podataka.
Na temelju svoje analize, istraživači navode da CloudMensis koristi nekoliko tehnika za zaobilaženje TCC-a i izbjegavanje bilo kakvih upita za dopuštenje, dobivajući nesmetan pristup osjetljivim područjima računala, kao što su zaslon, prijenosna pohrana i tipkovnica.
Na računalima s onemogućenim SIP-om, spyware će si jednostavno dodijeliti dopuštenja za pristup osjetljivim uređajima dodavanjem novih pravila u TCC bazu podataka. Međutim, na računalima na kojima je SIP aktivan, CloudMensis će iskoristiti poznate ranjivosti kako bi prevario TCC da učita bazu podataka u koju špijunski softver može pisati.
Zaštitite se
"Kada kupujemo Mac proizvod, obično pretpostavljamo da je potpuno siguran od zlonamjernog softvera i cyber prijetnji, ali to nije uvijek slučaj," rekao je George Gerchow, glavni službenik za sigurnost, Sumo Logic, za Lifewire u razmjeni e-pošte.
Gerchow je objasnio da je situacija još više zabrinjavajuća ovih dana jer mnogi ljudi rade od kuće ili u hibridnom okruženju koristeći osobna računala. "Ovo kombinira osobne podatke s podacima poduzeća, stvarajući skup ranjivih i poželjnih podataka za hakere", primijetio je Gerchow.
Dok istraživači predlažu pokretanje ažuriranog Maca kako bi se barem spriječilo da špijunski softver zaobiđe TCC, Gerchow vjeruje da je blizina osobnih uređaja i poslovnih podataka potrebna za korištenje sveobuhvatnog softvera za nadzor i zaštitu.
"Zaštitu krajnje točke, koju poduzeća često koriste, [ljudi] mogu pojedinačno instalirati za nadzor i zaštitu ulaznih točaka na mrežama ili sustavima temeljenim na oblaku od sofisticiranog zlonamjernog softvera i prijetnji nultog dana u razvoju", predložio je Gerchow. "Zapisivanjem podataka korisnici mogu otkriti novi, potencijalno nepoznati promet i izvršne datoteke unutar svoje mreže."
Možda zvuči kao pretjerano, ali čak ni istraživači nisu neskloni upotrebi sveobuhvatne zaštite za zaštitu ljudi od špijunskog softvera, misleći na Lockdown Mode koji Apple sprema uvesti na iOS-u, iPadOS-u i macOS-u. Svrha je dati ljudima mogućnost jednostavnog onemogućavanja značajki koje napadači često iskorištavaju za špijuniranje ljudi.
"Iako nije najnapredniji zlonamjerni softver, CloudMensis bi mogao biti jedan od razloga zašto bi neki korisnici željeli omogućiti ovu dodatnu obranu [novi način zaključavanja]," istaknuli su istraživači. "Onemogućavanje ulaznih točaka, nauštrb manje fluidnog korisničkog iskustva, zvuči kao razuman način za smanjenje površine napada."
