Mga Key Takeaway
- Nakita ng mga mananaliksik ang isang hindi pa nakikitang macOS spyware sa ligaw.
- Hindi ito ang pinaka-advanced na malware at umaasa sa hindi magandang kalinisan ng seguridad ng mga tao upang makamit ang mga layunin nito.
-
Gayunpaman, ang mga komprehensibong mekanismo ng seguridad, gaya ng paparating na Lockdown mode ng Apple, ang kailangan ng oras, sabi ng mga eksperto sa seguridad.
Nakakita ang mga mananaliksik sa seguridad ng bagong macOS spyware na sinasamantala ang mga naka-patch na kahinaan upang ayusin ang mga proteksyong nakapaloob sa macOS. Itinatampok ng pagtuklas nito ang kahalagahan ng pagsubaybay sa mga update sa operating system.
Ang Dubbed CloudMensis, ang dating hindi kilalang spyware, na nakita ng mga mananaliksik sa ESET, ay eksklusibong gumagamit ng mga pampublikong serbisyo sa cloud storage gaya ng pCloud, Dropbox, at iba pa para makipag-ugnayan sa mga umaatake, at para sa pag-exfiltrate ng mga file. Nakababahala, sinasamantala nito ang napakaraming mga kahinaan upang i-bypass ang mga built-in na proteksyon ng macOS upang nakawin ang iyong mga file.
"Malinaw na ipinapakita ng mga kakayahan nito na ang layunin ng mga operator nito ay mangalap ng impormasyon mula sa mga Mac ng mga biktima sa pamamagitan ng pag-exfiltrate ng mga dokumento, keystroke, at screen capture," isinulat ng mananaliksik ng ESET na si Marc-Etienne M. Léveillé. "Ang paggamit ng mga kahinaan upang malutas ang macOS mitigations ay nagpapakita na ang mga operator ng malware ay aktibong sinusubukang i-maximize ang tagumpay ng kanilang mga operasyon sa pag-espiya."
Persistent Spyware
Nauna nang nakita ng mga mananaliksik ng ESET ang bagong malware noong Abril 2022 at napagtantong maaari nitong atakehin ang mas lumang Intel at ang mas bagong Apple na mga computer na nakabatay sa silicon.
Marahil ang pinakakapansin-pansing aspeto ng spyware ay na pagkatapos na ma-deploy sa Mac ng biktima, hindi umiiwas ang CloudMensis sa pagsasamantala sa hindi na-patch na mga kahinaan ng Apple na may layuning i-bypass ang macOS Transparency Consent and Control (TCC) system.
Ang TCC ay idinisenyo upang i-prompt ang user na magbigay ng pahintulot sa mga app na kumuha ng mga screen capture o subaybayan ang mga kaganapan sa keyboard. Hinaharangan nito ang mga app sa pag-access ng sensitibong data ng user sa pamamagitan ng pagpapagana sa mga user ng macOS na i-configure ang mga setting ng privacy para sa mga app na naka-install sa kanilang mga system at device na nakakonekta sa kanilang mga Mac, kabilang ang mga mikropono at camera.
Ang mga panuntunan ay naka-save sa isang database na protektado ng System Integrity Protection (SIP), na nagsisiguro na ang TCC daemon lang ang makakapagbago ng database.
Batay sa kanilang pagsusuri, sinabi ng mga mananaliksik na ang CloudMensis ay gumagamit ng ilang mga diskarte upang i-bypass ang TCC at maiwasan ang anumang mga prompt ng pahintulot, na nakakakuha ng walang hadlang na access sa mga sensitibong bahagi ng computer, tulad ng screen, naaalis na storage, at ang keyboard.
Sa mga computer na hindi pinagana ang SIP, bibigyan lang ng spyware ang sarili nitong mga pahintulot na i-access ang mga sensitibong device sa pamamagitan ng pagdaragdag ng mga bagong panuntunan sa database ng TCC. Gayunpaman, sa mga computer kung saan aktibo ang SIP, sasamantalahin ng CloudMensis ang mga kilalang kahinaan upang linlangin ang TCC na mag-load ng database na maaaring sulatan ng spyware.
Protektahan ang Iyong Sarili
"Karaniwan naming ipinapalagay na kapag bumili kami ng produktong Mac ay ganap itong ligtas mula sa malware at mga banta sa cyber, ngunit hindi iyon palaging nangyayari," sabi ni George Gerchow, Chief Security Officer, Sumo Logic, sa Lifewire sa isang email exchange.
Ipinaliwanag ni Gerchow na ang sitwasyon ay mas nakakabahala sa mga araw na ito sa maraming tao na nagtatrabaho mula sa bahay o sa isang hybrid na kapaligiran gamit ang mga personal na computer. "Pinagsasama nito ang personal na data sa data ng enterprise, na lumilikha ng isang pool ng mahina at kanais-nais na data para sa mga hacker," sabi ni Gerchow.
Habang iminumungkahi ng mga mananaliksik na patakbuhin ang isang up-to-date na Mac upang hindi bababa sa maiwasan ang spyware sa pag-bypass sa TCC, naniniwala si Gerchow na ang kalapitan ng mga personal na device at data ng enterprise ay nangangailangan ng paggamit ng komprehensibong monitoring at proteksyon ng software.
"Ang proteksyon sa endpoint, na kadalasang ginagamit ng mga negosyo, ay maaaring i-install nang isa-isa ng [mga tao] upang subaybayan at protektahan ang mga entry point sa mga network, o mga cloud-based na system, mula sa sopistikadong malware at umuusbong na zero-day na banta," iminungkahing ni Gerchow. "Sa pamamagitan ng pag-log data, ang mga user ay makaka-detect ng bago, potensyal na hindi kilalang trapiko at mga executable sa loob ng kanilang network."
Maaaring parang overkill, ngunit kahit ang mga mananaliksik ay hindi tumitigil sa paggamit ng mga komprehensibong proteksyon para protektahan ang mga tao laban sa spyware, na tumutukoy sa Lockdown Mode na nakatakdang ipakilala ng Apple sa iOS, iPadOS, at macOS. Nilalayon nitong bigyan ang mga tao ng opsyon na madaling i-disable ang mga feature na madalas na sinasamantala ng mga umaatake para tiktikan ang mga tao.
"Bagaman hindi ang pinaka-advanced na malware, ang CloudMensis ay maaaring isa sa mga dahilan kung bakit gustong paganahin ng ilang user ang karagdagang depensang ito [ang bagong Lockdown mode]," sabi ng mga mananaliksik. "Ang hindi pagpapagana ng mga entry point, sa kapinsalaan ng hindi gaanong tuluy-tuloy na karanasan ng gumagamit, ay parang isang makatwirang paraan upang bawasan ang pag-atake."
