מזונות חשובים
- חוקרים הבחינו בתוכנת ריגול macOS שטרם נראתה בטבע.
- זו לא התוכנה הזדונית המתקדמת ביותר והיא מסתמכת על היגיינת אבטחה לקויה של אנשים כדי להשיג את יעדיה.
-
עם זאת, מנגנוני אבטחה מקיפים, כמו מצב הנעילה הקרוב של אפל, הם הצורך של השעה, טוענים מומחי אבטחה.
חוקרי אבטחה הבחינו בתוכנת ריגול חדשה של macOS שמנצלת נקודות תורפה שכבר מתווקות כדי לעקוף הגנות המובנות ב-macOS. גילויו מדגיש את החשיבות של מעקב אחר עדכוני מערכת ההפעלה.
מדובבת CloudMensis, תוכנת הריגול שלא הייתה ידועה בעבר, שאותרה על ידי חוקרים ב-ESET, משתמשת באופן בלעדי בשירותי אחסון ענן ציבוריים כגון pCloud, Dropbox ואחרים כדי לתקשר עם התוקפים, ולחילוץ קבצים. באופן מדאיג, הוא מנצל שפע של פגיעויות כדי לעקוף את ההגנות המובנות של macOS כדי לגנוב את הקבצים שלך.
"היכולות שלו מראות בבירור שכוונת המפעילים שלה היא לאסוף מידע ממחשבי ה-Mac של הקורבנות על ידי הוצאת מסמכים, הקשות וצילומי מסך", כתב חוקר ESET Marc-Etienne M. Léveillé. "השימוש בפגיעויות כדי לעקוף את הפחתת macOS מראה שמפעילי תוכנות זדוניות מנסים באופן אקטיבי למקסם את הצלחת פעולות הריגול שלהם."
תוכנות ריגול מתמשכות
ESET חוקרים הבחינו לראשונה בתוכנה הזדונית החדשה באפריל 2022 והבינו שהיא עלולה לתקוף גם את אינטל הישנה יותר וגם את המחשבים החדשים יותר מבוססי סיליקון של Apple.
אולי ההיבט הבולט ביותר של תוכנת הריגול הוא שאחרי פריסת ה-Mac של הקורבן, CloudMensis לא נרתע מניצול נקודות תורפה של אפל שטרם תוקנה מתוך כוונה לעקוף את מערכת ההסכמה והבקרה השקיפות של macOS (TCC).
TCC נועד להנחות את המשתמש להעניק לאפליקציות הרשאה לצלם צילומי מסך או לנטר אירועי מקלדת. זה חוסם אפליקציות מגישה לנתוני משתמש רגישים על ידי מתן אפשרות למשתמשי macOS להגדיר הגדרות פרטיות עבור אפליקציות המותקנות במערכות שלהם ובמכשירים המחוברים למחשבי ה-Mac שלהם, כולל מיקרופונים ומצלמות.
הכללים נשמרים בתוך מסד נתונים המוגן על ידי הגנת שלמות המערכת (SIP), מה שמבטיח שרק הדמון TCC יכול לשנות את מסד הנתונים.
בהתבסס על הניתוח שלהם, החוקרים מצהירים ש-CloudMensis משתמש בכמה טכניקות כדי לעקוף את TCC ולהימנע מכל בקשת הרשאה, תוך קבלת גישה ללא הפרעה לאזורים הרגישים של המחשב, כגון המסך, האחסון הנשלף וה מקלדת.
במחשבים עם SIP מושבת, תוכנת הריגול פשוט תעניק לעצמה הרשאות גישה למכשירים הרגישים על ידי הוספת כללים חדשים למסד הנתונים של TCC. עם זאת, במחשבים שבהם SIP פעיל, CloudMensis תנצל פגיעויות ידועות כדי להערים על TCC לטעון מסד נתונים שאליו תוכנת הריגול יכולה לכתוב.
Protect Yourself
"אנחנו בדרך כלל מניחים שכאשר אנו רוכשים מוצר Mac הוא בטוח לחלוטין מפני תוכנות זדוניות ואיומי סייבר, אבל זה לא תמיד המקרה", אמר ג'ורג' גרכוב, קצין האבטחה הראשי של Sumo Logic, ל-Lifewire בהחלפת דוא"ל.
Gerchow הסביר שהמצב מדאיג עוד יותר בימים אלה, כאשר אנשים רבים עובדים מהבית או בסביבה היברידית המשתמשים במחשבים אישיים. "זה משלב נתונים אישיים עם נתונים ארגוניים, יוצר מאגר של נתונים פגיעים ורצויים עבור האקרים", ציין Gerchow.
בעוד שהחוקרים מציעים להפעיל מק מעודכן כדי למנוע לפחות מתוכנות הריגול לעקוף את TCC, Gerchow מאמין שהקרבה של מכשירים אישיים ונתונים ארגוניים מחייבת שימוש בתוכנת ניטור והגנה מקיפה.
"הגנת נקודות קצה, בשימוש תדיר על ידי ארגונים, יכולה להיות מותקנת בנפרד על ידי [אנשים] כדי לנטר ולהגן על נקודות כניסה ברשתות, או מערכות מבוססות ענן, מפני תוכנות זדוניות מתוחכמות ואיומי אפס מתפתחים", הציע Gerchow. "על ידי רישום נתונים, משתמשים יכולים לזהות תעבורה חדשה שעלולה להיות לא ידועה וקובצי הפעלה בתוך הרשת שלהם."
זה אולי נשמע כמו מוגזם, אבל אפילו החוקרים לא נרתעים משימוש בהגנות מקיפות כדי להגן על אנשים מפני תוכנות ריגול, בהתייחס למצב הנעילה שאפל אמורה להציג ב-iOS, iPadOS ו-macOS. זה נועד לתת לאנשים אפשרות להשבית בקלות תכונות שתוקפים מנצלים לעתים קרובות כדי לרגל אחרי אנשים.
"למרות שאינה התוכנה הזדונית המתקדמת ביותר, CloudMensis עשויה להיות אחת הסיבות שחלק מהמשתמשים ירצו לאפשר את ההגנה הנוספת הזו [מצב הנעילה החדש]", ציינו החוקרים. "השבתת נקודות כניסה, על חשבון חווית משתמש פחות זורמת, נשמעת כמו דרך סבירה לצמצם את משטח ההתקפה."