Key takeaways
- Forskare har upptäckt ett aldrig skådat macOS-spionprogram i naturen.
- Det är inte den mest avancerade skadliga programvaran och förlitar sig på människors dåliga säkerhetshygien för att uppnå sina mål.
-
Fortfarande är omfattande säkerhetsmekanismer, som Apples kommande låsningsläge, tidens behov, hävdar säkerhetsexperter.
Säkerhetsforskare har upptäckt ett nytt spionprogram för macOS som utnyttjar redan korrigerade sårbarheter för att kringgå skydd som är inbyggt i macOS. Dess upptäckt understryker vikten av att hålla sig uppdaterad med operativsystemuppdateringar.
Dubbad CloudMensis, det tidigare okända spionprogrammet, upptäckt av forskare vid ESET, använder exklusivt offentliga molnlagringstjänster som pCloud, Dropbox och andra för att kommunicera med angriparna och för att exfiltrera filer. Oroväckande nog utnyttjar den en uppsjö av sårbarheter för att kringgå macOS inbyggda skydd för att stjäla dina filer.
"Dess kapacitet visar tydligt att dess operatörers avsikt är att samla information från offrens Mac-datorer genom att exfiltrera dokument, tangenttryckningar och skärmdumpar", skrev ESET-forskaren Marc-Etienne M. Léveillé. "Användning av sårbarheter för att kringgå macOS-reducering visar att operatörerna av skadlig programvara aktivt försöker maximera framgången för sina spionverksamheter."
Persistent Spyware
ESET-forskare upptäckte den nya skadliga programvaran i april 2022 och insåg att den kunde attackera både äldre Intel och de nyare Apple-kiselbaserade datorerna.
Den kanske mest slående aspekten av spionprogrammet är att CloudMensis, efter att ha distribuerats på ett offers Mac, inte drar sig för att utnyttja okorrigerade Apple-sårbarheter med avsikten att kringgå macOS Transparency Consent and Control (TCC)-systemet.
TCC är utformat för att uppmana användaren att ge appar tillåtelse att ta skärmdumpar eller övervaka tangentbordshändelser. Det blockerar appar från att komma åt känslig användardata genom att göra det möjligt för macOS-användare att konfigurera sekretessinställningar för appar installerade på deras system och enheter anslutna till deras Mac-datorer, inklusive mikrofoner och kameror.
Reglerna sparas i en databas som skyddas av System Integrity Protection (SIP), som säkerställer att endast TCC-demonen kan modifiera databasen.
Baserat på sin analys konstaterar forskarna att CloudMensis använder ett par tekniker för att kringgå TCC och undvika alla tillståndsmeddelanden, för att få obehindrad åtkomst till de känsliga områdena på datorn, såsom skärmen, flyttbar lagring och tangentbord.
På datorer med SIP inaktiverat kommer spionprogrammet helt enkelt att ge sig själv behörighet att komma åt de känsliga enheterna genom att lägga till nya regler i TCC-databasen. Men på datorer där SIP är aktivt kommer CloudMensis att utnyttja kända sårbarheter för att lura TCC att ladda en databas som spionprogram kan skriva till.
Skydda dig själv
"Vi antar vanligtvis att när vi köper en Mac-produkt är den helt säker från skadlig programvara och cyberhot, men det är inte alltid fallet", sa George Gerchow, säkerhetschef, Sumo Logic, till Lifewire i ett e-postutbyte.
Gerchow förklarade att situationen är ännu mer oroande nuförtiden med många människor som arbetar hemifrån eller i en hybridmiljö som använder persondatorer. "Detta kombinerar personlig data med företagsdata, vilket skapar en pool av sårbara och önskvärda data för hackare", konstaterade Gerchow.
Medan forskarna föreslår att köra en uppdaterad Mac för att åtminstone förhindra spionprogram från att kringgå TCC, anser Gerchow att närheten till personliga enheter och företagsdata kräver användning av omfattande övervaknings- och skyddsprogram.
"Slutpunktsskydd, som ofta används av företag, kan installeras individuellt av [människor] för att övervaka och skydda ingångspunkter på nätverk, eller molnbaserade system, från sofistikerad skadlig programvara och växande nolldagshot", föreslog Gerchow. "Genom att logga data kan användare upptäcka ny, potentiellt okänd trafik och körbara filer inom sitt nätverk."
Det kan låta som överdrivet, men till och med forskarna är inte motvilliga till att använda omfattande skydd för att skydda människor mot spionprogram, med hänvisning till det låsningsläge som Apple kommer att introducera på iOS, iPadOS och macOS. Det är tänkt att ge människor möjlighet att enkelt inaktivera funktioner som angripare ofta utnyttjar för att spionera på människor.
"Även om det inte är den mest avancerade skadliga programvaran, kan CloudMensis vara en av anledningarna till att vissa användare skulle vilja aktivera detta ytterligare försvar [det nya Lockdown-läget]," noterade forskarna. "Att inaktivera ingångspunkter, på bekostnad av en mindre flytande användarupplevelse, låter som ett rimligt sätt att minska attackytan."
