El nou programari maliciós de macOS utilitza diversos trucs per espiar-vos

Taula de continguts:

El nou programari maliciós de macOS utilitza diversos trucs per espiar-vos
El nou programari maliciós de macOS utilitza diversos trucs per espiar-vos
Anonim

Clau per emportar

  • Els investigadors han detectat un programari espia de macOS mai vist a la natura.
  • No és el programari maliciós més avançat i es basa en la poca higiene de seguretat de les persones per assolir els seus objectius.
  • Tot i així, els mecanismes de seguretat complets, com ara el proper mode de bloqueig d'Apple, són la necessitat del moment, diuen els experts en seguretat.

Image
Image

Els investigadors de seguretat han detectat un nou programari espia de macOS que aprofita les vulnerabilitats ja apegades per evitar les proteccions integrades a macOS. El seu descobriment posa de manifest la importància d'estar al dia amb les actualitzacions del sistema operatiu.

Doblat CloudMensis, el programari espia desconegut anteriorment, detectat pels investigadors d'ESET, utilitza exclusivament serveis d'emmagatzematge al núvol públic com pCloud, Dropbox i altres per comunicar-se amb els atacants i per exfiltrar fitxers. Preocupant, explota una gran quantitat de vulnerabilitats per evitar les proteccions integrades de macOS per robar els vostres fitxers.

"Les seves capacitats mostren clarament que la intenció dels seus operadors és recopilar informació dels Mac de les víctimes mitjançant l'exfiltració de documents, pulsacions de tecles i captures de pantalla", va escriure l'investigador d'ESET Marc-Etienne M. Léveillé. "L'ús de vulnerabilitats per solucionar les mitigacions de macOS mostra que els operadors de programari maliciós intenten activament maximitzar l'èxit de les seves operacions d'espionatge."

Programari espia persistent

Els investigadors d'ESET van detectar per primera vegada el nou programari maliciós l'abril de 2022 i es van adonar que podia atacar tant els ordinadors Intel més antics com els nous Apple basats en silici.

Potser l'aspecte més cridaner del programari espia és que, després d'haver-se desplegat al Mac d'una víctima, CloudMensis no defugi l'explotació de vulnerabilitats d'Apple sense pegats amb la intenció d'evitar el sistema de control i consentiment de transparència de macOS (TCC).

TCC està dissenyat per demanar a l'usuari que concedeixi permís a les aplicacions per fer captures de pantalla o supervisar els esdeveniments del teclat. Impedeix que les aplicacions accedeixin a dades sensibles d'usuari permetent als usuaris de macOS configurar la configuració de privadesa de les aplicacions instal·lades als seus sistemes i dispositius connectats als seus Mac, inclosos els micròfons i les càmeres.

Les regles es guarden dins d'una base de dades protegida per la Protecció d'Integritat del Sistema (SIP), que garanteix que només el dimoni TCC pugui modificar la base de dades.

Segons la seva anàlisi, els investigadors afirmen que CloudMensis utilitza un parell de tècniques per evitar el TCC i evitar qualsevol sol·licitud de permís, obtenint accés sense obstacles a les àrees sensibles de l'ordinador, com ara la pantalla, l'emmagatzematge extraïble i el teclat.

En ordinadors amb SIP desactivat, el programari espia només s'atorgarà permisos per accedir als dispositius sensibles afegint regles noves a la base de dades TCC. Tanmateix, als ordinadors en què SIP estigui actiu, CloudMensis aprofitarà les vulnerabilitats conegudes per enganyar TCC perquè carregui una base de dades a la qual el programari espia pot escriure.

Protegiu-vos

"En general, assumim que quan comprem un producte Mac està completament segur de programari maliciós i amenaces cibernètiques, però no sempre és així", va dir George Gerchow, director de seguretat de Sumo Logic, a Lifewire en un intercanvi de correu electrònic..

Gerchow va explicar que la situació és encara més preocupant en aquests dies amb molta gent que treballa des de casa o en un entorn híbrid utilitzant ordinadors personals. "Això combina dades personals amb dades empresarials, creant un conjunt de dades vulnerables i desitjables per als pirates informàtics", va assenyalar Gerchow.

Image
Image

Si bé els investigadors suggereixen executar un Mac actualitzat per, almenys, evitar que el programari espia no passi per alt TCC, Gerchow creu que la proximitat dels dispositius personals i de les dades de l'empresa requereix l'ús d'un programari complet de monitorització i protecció.

"La protecció dels punts finals, utilitzada amb freqüència per les empreses, la pot instal·lar individualment [persones] per supervisar i protegir els punts d'entrada a xarxes o sistemes basats en núvol, contra programari maliciós sofisticat i amenaces de dia zero en evolució", va suggerir Gerchow.. "En registrar dades, els usuaris poden detectar trànsit i executables nous potencialment desconeguts a la seva xarxa."

Pot semblar exagerat, però fins i tot els investigadors no són contraris a utilitzar proteccions completes per protegir la gent del programari espia, fent referència al mode de bloqueig que Apple ha d'introduir a iOS, iPadOS i macOS. Està pensat per oferir a la gent l'opció de desactivar fàcilment les funcions que els atacants exploten sovint per espiar persones.

"Tot i que no és el programari maliciós més avançat, CloudMensis pot ser una de les raons per les quals alguns usuaris voldrien habilitar aquesta defensa addicional [el nou mode de bloqueig]", van assenyalar els investigadors. "Desactivar els punts d'entrada, a costa d'una experiència d'usuari menys fluida, sembla una manera raonable de reduir la superfície d'atac."

Recomanat: