Ключевые выводы
- Исследователи обнаружили невиданную ранее шпионскую программу для macOS.
- Это не самая передовая вредоносная программа, и для достижения своих целей она опирается на плохую гигиену безопасности людей.
-
Тем не менее, всесторонние механизмы безопасности, такие как предстоящий режим блокировки Apple, являются потребностью часа, утверждают эксперты по безопасности.
Исследователи безопасности обнаружили новое шпионское ПО для macOS, которое использует уже исправленные уязвимости для обхода встроенных в macOS средств защиты. Его открытие подчеркивает важность обновления операционной системы.
Дублированное ранее неизвестное шпионское ПО CloudMensis, обнаруженное исследователями ESET, использует исключительно общедоступные облачные хранилища, такие как pCloud, Dropbox и другие, для связи с злоумышленниками и для извлечения файлов. К сожалению, он использует множество уязвимостей, чтобы обойти встроенную защиту macOS и украсть ваши файлы.
«Его возможности ясно показывают, что целью его операторов является сбор информации с компьютеров Mac жертв путем извлечения документов, нажатий клавиш и снимков экрана», - написал исследователь ESET Марк-Этьен М. Левей. «Использование уязвимостей для обхода средств защиты macOS показывает, что операторы вредоносных программ активно пытаются добиться максимального успеха своих шпионских операций».
Постоянное шпионское ПО
Исследователи ESET впервые обнаружили новое вредоносное ПО в апреле 2022 года и поняли, что оно может атаковать как старые компьютеры Intel, так и новые компьютеры Apple на основе кремния.
Возможно, наиболее поразительным аспектом шпионского ПО является то, что после развертывания на Mac жертвы CloudMensis не уклоняется от использования незакрытых уязвимостей Apple с намерением обойти систему согласия и контроля прозрачности macOS (TCC).
TCC предлагает пользователю разрешить приложениям делать снимки экрана или отслеживать события клавиатуры. Он блокирует доступ приложений к конфиденциальным пользовательским данным, позволяя пользователям macOS настраивать параметры конфиденциальности для приложений, установленных в их системах, и устройств, подключенных к их компьютерам Mac, включая микрофоны и камеры.
Правила сохраняются в базе данных, защищенной системой защиты целостности системы (SIP), которая гарантирует, что только демон TCC может изменять базу данных.
Основываясь на своем анализе, исследователи утверждают, что CloudMensis использует несколько методов для обхода TCC и любых запросов на разрешение, получая беспрепятственный доступ к важным областям компьютера, таким как экран, съемное хранилище и клавиатура.
На компьютерах с отключенным протоколом SIP шпионское ПО просто предоставляет себе разрешения на доступ к конфиденциальным устройствам, добавляя новые правила в базу данных TCC. Однако на компьютерах, на которых активен SIP, CloudMensis будет использовать известные уязвимости, чтобы обмануть TCC и загрузить базу данных, в которую может писать шпионское ПО.
Защитите себя
«Обычно мы предполагаем, когда покупаем продукт Mac, что он полностью защищен от вредоносных программ и киберугроз, но это не всегда так», - сказал Lifewire Джордж Герчоу, директор по безопасности Sumo Logic..
Герчоу объяснил, что в наши дни ситуация еще более тревожная, поскольку многие люди работают из дома или в гибридной среде с использованием персональных компьютеров. «Это объединяет личные данные с корпоративными данными, создавая пул уязвимых и желательных данных для хакеров», - отметил Герчоу.
Хотя исследователи предлагают использовать новейший Mac, чтобы, по крайней мере, предотвратить обход TCC шпионским ПО, Герчоу считает, что близость личных устройств и корпоративных данных требует использования комплексного программного обеспечения для мониторинга и защиты.
«Защита конечных точек, часто используемая предприятиями, может быть установлена индивидуально [людьми] для мониторинга и защиты точек входа в сетях или облачных системах от сложных вредоносных программ и развивающихся угроз нулевого дня», - предположил Герчоу.. «Записывая данные, пользователи могут обнаруживать новый, потенциально неизвестный трафик и исполняемые файлы в своей сети».
Это может звучать как излишество, но даже исследователи не прочь использовать комплексную защиту для защиты людей от шпионского ПО, ссылаясь на режим блокировки, который Apple собирается внедрить на iOS, iPadOS и macOS. Он предназначен для того, чтобы дать людям возможность легко отключить функции, которые злоумышленники часто используют для слежки за людьми.
«Несмотря на то, что CloudMensis не является самым передовым вредоносным ПО, он может быть одной из причин, по которой некоторые пользователи захотят включить эту дополнительную защиту [новый режим блокировки]», - отметили исследователи. «Отключение точек входа за счет менее гибкого взаимодействия с пользователем звучит как разумный способ уменьшить поверхность атаки."