Key takeaways
- Forskere har oppdaget en macOS-spyware som aldri har vært sett før i naturen.
- Det er ikke den mest avanserte skadevare og er avhengig av folks dårlige sikkerhetshygiene for å nå sine mål.
-
Fortsatt er omfattende sikkerhetsmekanismer, som Apples kommende låsemodus, tidens behov, hevder sikkerhetseksperter.
Sikkerhetsforskere har oppdaget en ny macOS-spyware som utnytter allerede lappede sårbarheter for å omgå beskyttelser innebygd i macOS. Oppdagelsen fremhever viktigheten av å følge med på oppdateringer av operativsystemet.
Dubbed CloudMensis, den tidligere ukjente spionvaren, oppdaget av forskere ved ESET, bruker utelukkende offentlige skylagringstjenester som pCloud, Dropbox og andre for å kommunisere med angriperne, og for å eksfiltrere filer. Bekymringsfullt nok utnytter den en mengde sårbarheter for å omgå macOS’ innebygde beskyttelse for å stjele filene dine.
"Dens evner viser tydelig at intensjonen til operatørene er å samle informasjon fra ofrenes Mac-er ved å eksfiltrere dokumenter, tastetrykk og skjermbilder," skrev ESET-forsker Marc-Etienne M. Léveillé. "Bruk av sårbarheter for å omgå macOS-reduksjoner viser at skadevareoperatørene aktivt prøver å maksimere suksessen til spioneringsoperasjonene sine."
Persistent Spyware
ESET-forskere oppdaget den nye skadevaren først i april 2022 og innså at den kunne angripe både eldre Intel og de nyere Apple silisiumbaserte datamaskinene.
Kanskje det mest slående aspektet ved spionvaren er at CloudMensis, etter å ha blitt distribuert på et offers Mac, ikke viker unna å utnytte uopprettede Apple-sårbarheter med den hensikt å omgå macOS Transparency Consent and Control (TCC)-systemet.
TCC er utformet for å be brukeren om å gi apper tillatelse til å ta skjermbilder eller overvåke tastaturhendelser. Den blokkerer apper fra å få tilgang til sensitive brukerdata ved å gjøre det mulig for macOS-brukere å konfigurere personverninnstillinger for apper installert på deres systemer og enheter koblet til deres Mac-er, inkludert mikrofoner og kameraer.
Reglene er lagret i en database beskyttet av System Integrity Protection (SIP), som sikrer at bare TCC-daemonen kan endre databasen.
Basert på analysen deres uttaler forskerne at CloudMensis bruker et par teknikker for å omgå TCC og unngå eventuelle tillatelsesmeldinger, og få uhindret tilgang til de sensitive områdene på datamaskinen, som skjermen, flyttbar lagring og tastatur.
På datamaskiner med SIP deaktivert vil spionvaren ganske enkelt gi seg selv tillatelse til å få tilgang til de sensitive enhetene ved å legge til nye regler i TCC-databasen. På datamaskiner som SIP er aktiv på, vil CloudMensis imidlertid utnytte kjente sårbarheter for å lure TCC til å laste en database som spionprogrammer kan skrive til.
Beskytt deg selv
"Vi antar vanligvis at når vi kjøper et Mac-produkt er det helt trygt for skadelig programvare og cybertrusler, men det er ikke alltid tilfelle," sa George Gerchow, Chief Security Officer, Sumo Logic, til Lifewire i en e-postutveksling.
Gerchow forklarte at situasjonen er enda mer bekymringsfull i disse dager med mange mennesker som jobber hjemmefra eller i et hybridmiljø som bruker personlige datamaskiner. "Dette kombinerer personlige data med bedriftsdata, og skaper en samling av sårbare og ønskelige data for hackere," bemerket Gerchow.
Mens forskerne foreslår å kjøre en oppdatert Mac for i det minste å forhindre at spionprogramvaren omgår TCC, mener Gerchow at nærheten til personlige enheter og bedriftsdata krever bruk av omfattende overvåkings- og beskyttelsesprogramvare.
"Endepunktbeskyttelse, ofte brukt av bedrifter, kan installeres individuelt av [mennesker] for å overvåke og beskytte inngangspunkter på nettverk, eller skybaserte systemer, mot sofistikert skadelig programvare og utviklende nulldagstrusler," foreslo Gerchow. "Ved å logge data kan brukere oppdage ny, potensielt ukjent trafikk og kjørbare filer i nettverket deres."
Det kan høres ut som overdrevet, men selv forskerne er ikke uvillige til å bruke omfattende beskyttelse for å beskytte folk mot spionprogrammer, med henvisning til låsemodusen Apple er satt til å introdusere på iOS, iPadOS og macOS. Det er ment å gi folk en mulighet til å enkelt deaktivere funksjoner som angripere ofte utnytter for å spionere på folk.
"Selv om det ikke er den mest avanserte skadevare, kan CloudMensis være en av grunnene til at noen brukere ønsker å aktivere dette ekstra forsvaret [den nye Lockdown-modusen]," bemerket forskerne. «Å deaktivere inngangspunkter, på bekostning av en mindre flytende brukeropplevelse, høres ut som en rimelig måte å redusere angrepsoverflaten på.«
