Key takeaways
- Forskere har set en aldrig set før macOS-spyware i naturen.
- Det er ikke den mest avancerede malware og er afhængig af folks dårlige sikkerhedshygiejne for at nå sine mål.
-
Alligevel er omfattende sikkerhedsmekanismer, såsom Apples kommende Lockdown-tilstand, tidens behov, hævder sikkerhedseksperter.
Sikkerhedsforskere har opdaget en ny macOS-spyware, der udnytter allerede patchede sårbarheder til at omgå beskyttelser indbygget i macOS. Dets opdagelse fremhæver vigtigheden af at følge med i operativsystemopdateringer.
Dubbed CloudMensis, det tidligere ukendte spyware, opdaget af forskere hos ESET, bruger udelukkende offentlige cloud-lagringstjenester såsom pCloud, Dropbox og andre til at kommunikere med angriberne og til at eksfiltrere filer. Bekymrende nok udnytter den et væld af sårbarheder til at omgå macOS' indbyggede beskyttelse for at stjæle dine filer.
"Dens egenskaber viser tydeligt, at dets operatørers hensigt er at indsamle information fra ofrenes Mac'er ved at eksfiltrere dokumenter, tastetryk og skærmbilleder," skrev ESET-forsker Marc-Etienne M. Léveillé. "Brug af sårbarheder til at omgå macOS-reduktioner viser, at malware-operatørerne aktivt forsøger at maksimere succesen med deres spionageoperationer."
Persistent Spyware
ESET-forskere opdagede første gang den nye malware i april 2022 og indså, at den kunne angribe både de ældre Intel og de nyere Apple silicium-baserede computere.
Det måske mest slående aspekt af spywaren er, at CloudMensis, efter at være blevet installeret på et offers Mac, ikke viger tilbage for at udnytte uoprettede Apple-sårbarheder med den hensigt at omgå macOS Transparency Consent and Control-systemet (TCC).
TCC er designet til at bede brugeren om at give apps tilladelse til at tage skærmbilleder eller overvåge tastaturbegivenheder. Det blokerer apps fra at få adgang til følsomme brugerdata ved at gøre det muligt for macOS-brugere at konfigurere privatlivsindstillinger for apps installeret på deres systemer og enheder, der er tilsluttet deres Mac'er, inklusive mikrofoner og kameraer.
Reglerne er gemt i en database beskyttet af System Integrity Protection (SIP), som sikrer, at kun TCC-dæmonen kan ændre databasen.
Baseret på deres analyse udtaler forskerne, at CloudMensis bruger et par teknikker til at omgå TCC og undgå eventuelle tilladelsesprompter og få uhindret adgang til de følsomme områder på computeren, såsom skærmen, flytbart lager og tastatur.
På computere med SIP deaktiveret vil spywaren blot give sig selv tilladelse til at få adgang til de følsomme enheder ved at tilføje nye regler til TCC-databasen. På computere, hvor SIP er aktiv, vil CloudMensis dog udnytte kendte sårbarheder til at narre TCC til at indlæse en database, som spywaren kan skrive til.
Beskyt dig selv
"Vi antager typisk, når vi køber et Mac-produkt, at det er fuldstændig sikkert mod malware og cybertrusler, men det er ikke altid tilfældet," sagde George Gerchow, Chief Security Officer, Sumo Logic, til Lifewire i en e-mailudveksling.
Gerchow forklarede, at situationen er endnu mere bekymrende i disse dage med mange mennesker, der arbejder hjemmefra eller i et hybridmiljø, der bruger personlige computere. "Dette kombinerer personlige data med virksomhedsdata, hvilket skaber en pulje af sårbare og ønskværdige data for hackere," bemærkede Gerchow.
Mens forskerne foreslår at køre en opdateret Mac for i det mindste at forhindre spyware i at omgå TCC, mener Gerchow, at nærheden af personlige enheder og virksomhedsdata kræver brug af omfattende overvågnings- og beskyttelsessoftware.
"Endepunktsbeskyttelse, der ofte bruges af virksomheder, kan installeres individuelt af [mennesker] for at overvåge og beskytte indgangspunkter på netværk eller skybaserede systemer mod sofistikeret malware og udviklende nul-dagstrusler," foreslog Gerchow. "Ved at logge data kan brugere opdage ny, potentielt ukendt trafik og eksekverbare filer på deres netværk."
Det lyder måske som overdrevet, men selv forskerne er ikke afvisende over for at bruge omfattende beskyttelse til at beskytte folk mod spyware, med henvisning til den låsetilstand, Apple er indstillet på at introducere på iOS, iPadOS og macOS. Det er beregnet til at give folk mulighed for nemt at deaktivere funktioner, som angribere ofte udnytter til at spionere på folk.
"Selv om det ikke er den mest avancerede malware, kan CloudMensis være en af grundene til, at nogle brugere ønsker at aktivere dette ekstra forsvar [den nye Lockdown-tilstand]," bemærkede forskerne. "At deaktivere indgangspunkter på bekostning af en mindre flydende brugeroplevelse lyder som en rimelig måde at reducere angrebsoverfladen på."
