Негізгі ұсыныстар
- Зерттеушілер табиғатта бұрын-соңды болмаған macOS шпиондық бағдарламасын байқады.
- Бұл ең жетілдірілген зиянды бағдарлама емес және өз мақсаттарына жету үшін адамдардың нашар қауіпсіздік гигиенасына сүйенеді.
-
Қауіпсіздік мамандарының пікірінше, Apple компаниясының алдағы құлыптау режимі сияқты кешенді қауіпсіздік тетіктері уақыт талабы болып табылады.
Қауіпсіздік зерттеушілері macOS жүйесіне енгізілген қорғаныстарды айналып өту үшін бұрыннан түзетілген осалдықтарды пайдаланатын жаңа macOS шпиондық бағдарламасын байқады. Оның ашылуы операциялық жүйе жаңартуларын сақтаудың маңыздылығын көрсетеді.
Дубляждалған CloudMensis, бұрын белгісіз шпиондық бағдарлама, оны ESET зерттеушілері байқаған, тек қана pCloud, Dropbox және басқалар сияқты жалпыға қолжетімді бұлтты сақтау қызметтерін шабуылдаушылармен байланысу және файлдарды эксфильтрациялау үшін пайдаланады. Бір қызығы, ол файлдарыңызды ұрлау үшін macOS ендірілген қорғаныстарын айналып өту үшін көптеген осалдықтарды пайдаланады.
"Оның мүмкіндіктері оның операторларының мақсаты құжаттарды эксфильтрациялау, пернелерді басу және экранды түсіру арқылы құрбандардың Mac компьютерлерінен ақпарат жинау екенін анық көрсетеді", - деп жазды ESET зерттеушісі Марк-Этьен М. Левейле. "MacOS осал тұстарын жұмсарту шараларын айналып өту үшін пайдалану зиянды бағдарлама операторларының өздерінің шпиондық операцияларының сәттілігін барынша арттыруға белсенді түрде тырысатынын көрсетеді."
Тұрақты шпиондық бағдарлама
ESET зерттеушілері жаңа зиянды бағдарламаны алғаш рет 2022 жылдың сәуірінде байқады және оның ескі Intel және жаңа Apple кремний негізіндегі компьютерлеріне шабуыл жасай алатынын түсінді.
Шпиондық бағдарламаның ең таңғаларлық аспектісі жәбірленушінің Mac жүйесінде орнатылғаннан кейін CloudMensis MacOS транспаренттік келісімі және бақылау (TCC) жүйесін айналып өту мақсатында Apple жүйесінің түзетілмеген осалдықтарын пайдаланудан тартынбайды.
TCC пайдаланушыдан қолданбаларға экран суретін түсіруге немесе пернетақта оқиғаларын бақылауға рұқсат беруді ұсынуға арналған. Ол macOS пайдаланушыларына жүйелері мен Mac компьютерлеріне қосылған құрылғыларында орнатылған қолданбалардың, соның ішінде микрофондар мен камералардың құпиялылық параметрлерін конфигурациялауға мүмкіндік беру арқылы қолданбалардың құпия пайдаланушы деректеріне қол жеткізуін блоктайды.
Ережелер тек TCC демоны дерекқорды өзгерте алатынын қамтамасыз ететін Жүйе тұтастығын қорғау (SIP) арқылы қорғалған дерекқорда сақталады.
Талдау негізінде зерттеушілер CloudMensis бағдарламасының экран, алынбалы жад және компьютер сияқты сезімтал аймақтарына кедергісіз қол жеткізе отырып, TCC-ті айналып өту және кез келген рұқсат сұрауларын болдырмау үшін бірнеше әдісті қолданатынын айтады. пернетақта.
SIP өшірілген компьютерлерде шпиондық бағдарлама TCC дерекқорына жаңа ережелерді қосу арқылы құпия құрылғыларға кіру рұқсаттарын береді. Дегенмен, SIP белсенді компьютерлерде CloudMensis шпиондық бағдарлама жаза алатын дерекқорды жүктеу үшін TCC-ті алдау үшін белгілі осалдықтарды пайдаланады.
Өзіңізді қорғаңыз
"Әдетте біз Mac өнімін сатып алған кезде оны зиянды бағдарламалар мен киберқауіптерден толықтай қауіпсіз деп есептейміз, бірақ бұл әрдайым бола бермейді", - деді Джордж Герчов, Sumo Logic компаниясының бас қауіпсіздік қызметкері Lifewire-ке электрондық пошта алмасуында..
Герчоу бұл күндері үйден немесе гибридті ортада жеке компьютерлер арқылы жұмыс істейтін көптеген адамдармен жағдайдың одан да алаңдатарлық екенін түсіндірді. "Бұл жеке деректерді кәсіпорын деректерімен біріктіріп, хакерлер үшін осал және қажет деректер пулын жасайды", - деп атап өтті Герчов.
Зерттеушілер шпиондық бағдарламаның TCC-ті айналып өтуіне жол бермеу үшін ең болмағанда жаңартылған Mac жүйесін іске қосуды ұсынса да, Герчов жеке құрылғылар мен кәсіпорын деректерінің жақындығы кешенді бақылау және қорғау бағдарламалық құралын пайдалануды талап етеді деп санайды.
"Кәсіпорындар жиі қолданатын соңғы нүктені қорғауды [адамдар] желілердегі немесе бұлтқа негізделген жүйелердегі кіру нүктелерін күрделі зиянды бағдарламалардан және дамып келе жатқан нөл күндік қауіптерден бақылау және қорғау үшін жеке орнатуы мүмкін ", - деп ұсынды Герчов.. "Деректерді тіркеу арқылы пайдаланушылар желідегі жаңа, ықтимал белгісіз трафикті және орындалатын файлдарды анықтай алады."
Бұл шамадан тыс көрінуі мүмкін, бірақ тіпті зерттеушілер Apple-дің iOS, iPadOS және macOS жүйелерінде енгізетін құлыптау режиміне сілтеме жасай отырып, адамдарды шпиондық бағдарламадан қорғау үшін жан-жақты қорғаныс құралдарын қолдануға қарсы емес. Бұл адамдарға шабуылдаушылар адамдарды аңдыу үшін жиі пайдаланатын мүмкіндіктерді оңай өшіру мүмкіндігін беру үшін жасалған.
"Ең жетілдірілген зиянды бағдарлама болмаса да, CloudMensis кейбір пайдаланушылар осы қосымша қорғанысты [жаңа Lockdown режимін] қосқысы келетін себептердің бірі болуы мүмкін", - деп атап өтті зерттеушілер. «Кіру нүктелерін өшіру, пайдаланушы тәжірибесінің аз болуы есебінен шабуылдың бетін азайтудың ақылға қонымды әдісі сияқты көрінеді."