Folje kryesore
- Studiuesit kanë pikasur një softuer spyware macOS të paparë ndonjëherë në natyrë.
- Nuk është malware më i avancuar dhe mbështetet në higjienën e dobët të sigurisë së njerëzve për të arritur objektivat e tij.
-
Megjithatë, mekanizmat gjithëpërfshirës të sigurisë, siç është modaliteti i ardhshëm i bllokimit të Apple, janë nevoja e orës, argumentojnë ekspertët e sigurisë.
Kërkuesit e sigurisë kanë vënë re një softuer të ri spiun macOS që shfrytëzon dobësitë tashmë të korrigjuara për të punuar rreth mbrojtjeve të integruara në macOS. Zbulimi i tij thekson rëndësinë e vazhdimit me përditësimet e sistemit operativ.
I dubluar CloudMensis, spyware i panjohur më parë, i vërejtur nga studiuesit në ESET, përdor ekskluzivisht shërbimet publike të ruajtjes së resë kompjuterike si pCloud, Dropbox dhe të tjera për të komunikuar me sulmuesit dhe për ekfiltrimin e skedarëve. Në mënyrë shqetësuese, ai shfrytëzon një sërë dobësish për të anashkaluar mbrojtjen e integruar të macOS për të vjedhur skedarët tuaj.
"Aftësitë e tij tregojnë qartë se qëllimi i operatorëve të tij është të mbledhin informacion nga Mac-et e viktimave duke nxjerrë dokumente, shtypje tastieje dhe kapje ekrani," shkroi studiuesi i ESET Marc-Etienne M. Léveillé. "Përdorimi i dobësive për të punuar rreth zbutjes së macOS tregon se operatorët e malware po përpiqen në mënyrë aktive të maksimizojnë suksesin e operacioneve të tyre të spiunazhit."
Spyware të vazhdueshëm
Kërkuesit e ESET zbuluan për herë të parë malware-in e ri në prill 2022 dhe kuptuan se ai mund të sulmonte si kompjuterët më të vjetër Intel ashtu edhe kompjuterët më të rinj të bazuar në silikon Apple.
Ndoshta aspekti më i mrekullueshëm i spyware-it është se pasi vendoset në Mac-in e viktimës, CloudMensis nuk i shmanget shfrytëzimit të dobësive të pazgjidhura të Apple me qëllimin për të anashkaluar sistemin e Pëlqimit dhe Kontrollit të Transparencës së macOS (TCC).
TCC është krijuar për të nxitur përdoruesin që t'u japë aplikacioneve leje për të bërë fotografi në ekran ose për të monitoruar ngjarjet e tastierës. Ai bllokon aplikacionet nga qasja në të dhënat e ndjeshme të përdoruesve duke u mundësuar përdoruesve të macOS të konfigurojnë cilësimet e privatësisë për aplikacionet e instaluara në sistemet e tyre dhe pajisjet e lidhura me Mac-et e tyre, duke përfshirë mikrofonat dhe kamerat.
Rregullat ruhen brenda një baze të dhënash të mbrojtur nga Sistemi i Integritetit të Mbrojtjes (SIP), i cili siguron që vetëm daemon TCC mund të modifikojë bazën e të dhënave.
Bazuar në analizën e tyre, studiuesit deklarojnë se CloudMensis përdor disa teknika për të anashkaluar TCC dhe për të shmangur çdo kërkesë për leje, duke fituar akses të papenguar në zonat e ndjeshme të kompjuterit, si ekrani, ruajtja e lëvizshme dhe tastierë.
Në kompjuterët me SIP të çaktivizuar, spyware thjesht do t'i japë vetes leje për të hyrë në pajisjet e ndjeshme duke shtuar rregulla të reja në bazën e të dhënave TCC. Megjithatë, në kompjuterët në të cilët SIP është aktiv, CloudMensis do të shfrytëzojë dobësitë e njohura për të mashtruar TCC për të ngarkuar një bazë të dhënash në të cilën mund të shkruajë spyware.
Mbroni veten
"Ne zakonisht supozojmë se kur blejmë një produkt Mac është plotësisht i sigurt nga malware dhe kërcënimet kibernetike, por nuk është gjithmonë kështu," tha George Gerchow, Shefi i Sigurisë, Sumo Logic, për Lifewire në një shkëmbim emaili..
Gerchow shpjegoi se situata është edhe më shqetësuese këto ditë me shumë njerëz që punojnë nga shtëpia ose në një mjedis hibrid duke përdorur kompjuterë personalë. "Kjo kombinon të dhënat personale me të dhënat e ndërmarrjes, duke krijuar një grup të dhënash të cenueshme dhe të dëshirueshme për hakerët," vuri në dukje Gerchow.
Ndërsa studiuesit sugjerojnë ekzekutimin e një Mac të përditësuar për të parandaluar të paktën spyware-in të anashkalojë TCC-në, Gerchow beson se afërsia e pajisjeve personale dhe të dhënave të ndërmarrjes kërkon përdorimin e softuerit gjithëpërfshirës të monitorimit dhe mbrojtjes.
"Mbrojtja e pikës fundore, e përdorur shpesh nga ndërmarrjet, mund të instalohet individualisht nga [njerëzit] për të monitoruar dhe mbrojtur pikat hyrëse në rrjete ose sisteme të bazuara në renë kompjuterike, nga programet keqdashëse të sofistikuara dhe kërcënimet në zhvillim të ditës zero, " sugjeroi Gerchow. "Duke regjistruar të dhënat, përdoruesit mund të zbulojnë trafik të ri, potencialisht të panjohur dhe ekzekutues brenda rrjetit të tyre."
Mund të tingëllojë si e tepruar, por edhe studiuesit nuk janë kundër përdorimit të mbrojtjeve gjithëpërfshirëse për të mbrojtur njerëzit kundër spyware, duke iu referuar modalitetit të bllokimit që Apple është vendosur të prezantojë në iOS, iPadOS dhe macOS. Ka për qëllim t'u japë njerëzve një mundësi për të çaktivizuar me lehtësi veçoritë që sulmuesit i shfrytëzojnë shpesh për të spiunuar njerëzit.
"Megjithëse jo malware më i avancuar, CloudMensis mund të jetë një nga arsyet që disa përdorues do të dëshironin të mundësonin këtë mbrojtje shtesë [modaliteti i ri i bllokimit]," vunë në dukje studiuesit. “Çaktivizimi i pikave të hyrjes, në kurriz të një eksperience më pak të lëngshme të përdoruesit, tingëllon si një mënyrë e arsyeshme për të reduktuar sipërfaqen e sulmit."