Pagrindiniai pasiėmimai
- Tyrėjai gamtoje aptiko dar nematytą „macOS“šnipinėjimo programą.
- Tai nėra pati pažangiausia kenkėjiška programa ir, norint pasiekti savo tikslus, priklauso nuo prastos žmonių saugos higienos.
-
Vis dėlto visapusiški saugos mechanizmai, pvz., būsimas Apple užrakinimo režimas, yra valandos poreikis, tvirtina saugumo ekspertai.
Saugumo tyrinėtojai pastebėjo naują „MacOS“šnipinėjimo programą, kuri išnaudoja jau pataisytas spragas, kad apeitų „macOS“integruotas apsaugos priemones. Jo atradimas pabrėžia, kaip svarbu neatsilikti nuo operacinės sistemos naujinimų.
Dubbed CloudMensis, anksčiau nežinoma šnipinėjimo programa, kurią pastebėjo ESET tyrėjai, bendravimui su užpuolikais ir failams išfiltruoti naudoja tik viešąsias debesies saugyklos paslaugas, tokias kaip pCloud, Dropbox ir kt. Nerimą kelia tai, kad ji išnaudoja daugybę pažeidžiamumų, kad apeitų „macOS“integruotą apsaugą ir pavogtų jūsų failus.
„Jo galimybės aiškiai rodo, kad jos operatorių tikslas yra rinkti informaciją iš aukų Mac kompiuterių, išfiltruojant dokumentus, klavišų paspaudimus ir ekrano fiksavimus“, – rašė ESET tyrėjas Marc-Etienne M. Léveillé. „Pažeidimų naudojimas siekiant išvengti „MacOS“problemų rodo, kad kenkėjiškų programų operatoriai aktyviai bando maksimaliai padidinti savo šnipinėjimo operacijų sėkmę.“
Pastovi šnipinėjimo programa
ESET mokslininkai pirmą kartą pastebėjo naują kenkėjišką programą 2022 m. balandžio mėn. ir suprato, kad ji gali užpulti ir senesnius „Intel“, ir naujesnius „Apple“kompiuterius su siliciu.
Ko gero, ryškiausias šnipinėjimo programų aspektas yra tai, kad įdiegus aukos „Mac“, „CloudMensis“nevengia išnaudoti nepataisytų „Apple“spragų, siekdama apeiti „macOS“skaidrumo sutikimo ir valdymo (TCC) sistemą.
TCC sukurtas taip, kad paraginti vartotoją suteikti programoms leidimą daryti ekrano nuotraukas arba stebėti klaviatūros įvykius. Ji neleidžia programoms pasiekti neskelbtinų naudotojų duomenų, nes leidžia „macOS“naudotojams konfigūruoti privatumo nustatymus programoms, įdiegtoms jų sistemose ir įrenginiuose, prijungtuose prie jų „Mac“, įskaitant mikrofonus ir kameras.
Taisyklės išsaugomos duomenų bazėje, apsaugotoje sistemos vientisumo apsaugos (SIP), kuri užtikrina, kad tik TCC demonas gali keisti duomenų bazę.
Remiantis savo analize, mokslininkai teigia, kad „CloudMensis“naudoja keletą metodų, kad apeitų TCC ir išvengtų raginimų gauti leidimą, kad gautų netrukdomą prieigą prie jautrių kompiuterio sričių, tokių kaip ekranas, keičiama saugykla ir klaviatūra.
Kompiuteriuose, kuriuose SIP išjungtas, šnipinėjimo programa tiesiog suteiks sau leidimus pasiekti jautrius įrenginius, įtraukdama į TCC duomenų bazę naujų taisyklių. Tačiau kompiuteriuose, kuriuose aktyvus SIP, „CloudMensis“išnaudos žinomas spragas, kad apgautų TCC, kad įkeltų duomenų bazę, į kurią gali rašyti šnipinėjimo programos.
Apsaugokite save
„Paprastai manome, kad įsigydami „Mac“produktą, jis yra visiškai apsaugotas nuo kenkėjiškų programų ir kibernetinių grėsmių, tačiau taip būna ne visada“, – „Lifewire“apsikeitimo el. paštu sakė George'as Gerchow, „Sumo Logic“vyriausiasis saugumo pareigūnas..
Gerchow paaiškino, kad šiais laikais padėtis kelia dar didesnį nerimą, nes daugelis žmonių dirba namuose arba hibridinėje aplinkoje, naudodami asmeninius kompiuterius. „Tai sujungia asmens duomenis su įmonės duomenimis, sukuriant pažeidžiamų ir pageidaujamų įsilaužėlių duomenų telkinį“, – pažymėjo Gerchow.
Nors mokslininkai siūlo paleisti naujausią „Mac“, kad bent jau neleistų šnipinėjimo programoms apeiti TCC, Gerchow mano, kad asmeninių įrenginių ir įmonės duomenų artumas reikalauja naudoti visapusišką stebėjimo ir apsaugos programinę įrangą.
„Galinio taško apsaugą, kurią dažnai naudoja įmonės, [žmonės] gali įdiegti atskirai, kad stebėtų ir apsaugotų tinklų arba debesies pagrindu veikiančių sistemų įėjimo taškus nuo sudėtingų kenkėjiškų programų ir besivystančių nulinės dienos grėsmių“, – pasiūlė Gerchow.. "Įrašydami duomenis vartotojai gali aptikti naują, potencialiai nežinomą srautą ir vykdomąsias programas savo tinkle."
Tai gali atrodyti kaip perdėta, tačiau net tyrėjai nevengia naudoti visapusiškų apsaugos priemonių, kad apsaugotų žmones nuo šnipinėjimo programų, remdamasis užrakinimo režimu, kurį „Apple“ketina įdiegti „iOS“, „iPadOS“ir „MacOS“. Ji skirta žmonėms suteikti galimybę lengvai išjungti funkcijas, kurias užpuolikai dažnai naudoja šnipinėdami žmones.
„Nors „CloudMensis“nėra pati pažangiausia kenkėjiška programa, ji gali būti viena iš priežasčių, kodėl kai kurie vartotojai norėtų įjungti šią papildomą apsaugą [naują užrakinimo režimą]“, – pažymėjo tyrėjai. „Įėjimo taškų išjungimas dėl mažiau sklandaus naudotojo patirties atrodo kaip pagrįstas būdas sumažinti atakos paviršių."