Võtmed kaasavõtmiseks
- Teadlased on avastanud looduses seninägematu MacOS-i nuhkvara.
- See pole kõige arenenum pahavara ja tugineb oma eesmärkide saavutamiseks inimeste kehvale turvahügieenile.
-
Siiski on igakülgsed turvamehhanismid, nagu Apple'i peagi ilmuv lukustusrežiim, õige tunni vajadus, väidavad turvaeksperdid.
Turbeteadlased on avastanud uue macOS-i nuhkvara, mis kasutab ära juba paigatud turvaauke, et vältida macOS-i sisseehitatud kaitset. Selle avastus rõhutab operatsioonisüsteemi värskendustega kursis hoidmise tähtsust.
Varem tundmatu nuhkvara Dubbed CloudMensis, mille märkasid ESET-i teadlased, kasutab ründajatega suhtlemiseks ja failide väljafiltreerimiseks eranditult avalikke pilvesalvestusteenuseid, nagu pCloud, Dropbox ja muud. Murettekitav on see, et see kasutab MacOS-i sisseehitatud kaitsetest mööda hiilimiseks ja teie failide varastamiseks ära paljusid haavatavusi.
"Selle võimalused näitavad selgelt, et selle operaatorite eesmärk on koguda teavet ohvrite Macidest, eksfiltreerides dokumente, klahvivajutusi ja ekraanipilte, " kirjutas ESET-i teadur Marc-Etienne M. Léveillé. "Haavatavuste kasutamine MacOS-i leevenduste ümbertöötamiseks näitab, et pahavara operaatorid püüavad aktiivselt oma nuhkimistoimingute edukust maksimeerida."
Püsiv nuhkvara
ESET-i teadlased märkasid uut pahavara esmakordselt 2022. aasta aprillis ja mõistsid, et see võib rünnata nii vanemaid Inteli kui ka uuemaid Apple'i ränipõhiseid arvuteid.
Nihkvara kõige silmatorkavam aspekt on see, et pärast ohvri Maci juurutamist ei kohku CloudMensis kasutamast Apple'i parandamata turvaauke, et minna mööda MacOS-i läbipaistvuse nõusoleku ja kontrolli (TCC) süsteemist.
TCC on loodud selleks, et paluda kasutajal anda rakendustele luba ekraanipiltide tegemiseks või klaviatuuri sündmuste jälgimiseks. See blokeerib rakendustel juurdepääsu tundlikele kasutajaandmetele, võimaldades MacOS-i kasutajatel konfigureerida nende süsteemidesse installitud rakenduste ja nende Maciga ühendatud seadmetesse, sealhulgas mikrofonidesse ja kaameratesse, installitud rakenduste privaatsusseadeid.
Reeglid salvestatakse andmebaasi, mis on kaitstud süsteemi terviklikkuse kaitsega (SIP), mis tagab, et ainult TCC deemon saab andmebaasi muuta.
Oma analüüsi põhjal väidavad teadlased, et CloudMensis kasutab TCC-st möödahiilimiseks ja loaviipade vältimiseks paar tehnikat, pääsedes takistamatult ligi arvuti tundlikele aladele, nagu ekraan, irdmälu ja klaviatuur.
Arvutites, kus SIP on keelatud, annab nuhkvara endale lihts alt loa juurdepääsuks tundlikele seadmetele, lisades TCC andmebaasi uued reeglid. Kuid arvutites, kus SIP on aktiivne, kasutab CloudMensis teadaolevaid turvaauke, et meelitada TCC-d laadima andmebaasi, kuhu nuhkvara saab kirjutada.
Kaitske ennast
"Tavaliselt eeldame, et Maci toote ostmisel on see pahavara ja küberohtude eest täiesti ohutu, kuid see ei ole alati nii," ütles Sumo Logici turvajuht George Gerchow Lifewire'ile meilivahetuses..
Gerchow selgitas, et olukord on tänapäeval veelgi murettekitavam, kuna paljud inimesed töötavad kodus või personaalarvuteid kasutades hübriidkeskkonnas. "See ühendab isikuandmed ettevõtte andmetega, luues häkkerite jaoks haavatavate ja soovitavate andmete kogumi," märkis Gerchow.
Kuigi teadlased soovitavad kasutada ajakohast Maci, et vähem alt takistada nuhkvara TCC-st mööda hiilimast, usub Gerchow, et isiklike seadmete ja ettevõtte andmete lähedus eeldab igakülgse jälgimis- ja kaitsetarkvara kasutamist.
"Lõpp-punkti kaitse, mida ettevõtted sageli kasutavad, saavad [inimesed] eraldi installida, et jälgida ja kaitsta võrkude või pilvepõhiste süsteemide sisenemispunkte keeruka pahavara ja arenevate nullpäevaohtude eest," soovitas Gerchow.. "Andmete logimisega saavad kasutajad tuvastada oma võrgus uut, potentsiaalselt tundmatut liiklust ja käivitatavaid faile."
See võib tunduda liialdusena, kuid isegi teadlased ei ole vastu laiaulatuslike kaitsemeetmete kasutamisele, et kaitsta inimesi nuhkvara eest, viidates lukustusrežiimile, mille Apple kavatseb iOS-is, iPadOS-is ja macOS-is kasutusele võtta. Selle eesmärk on anda inimestele võimalus lihts alt keelata funktsioone, mida ründajad sageli inimeste järele luuramiseks kasutavad.
"Kuigi CloudMensis pole kõige arenenum pahavara, võib see olla üks põhjusi, miks mõned kasutajad soovivad seda täiendavat kaitset [uue lukustusrežiimi] lubada," märkisid teadlased. "Sisenemispunktide keelamine vähem sujuva kasutuskogemuse arvelt kõlab mõistliku viisina rünnakupinna vähendamiseks."
