Key Takeaway
- Penyelidik telah melihat perisian pengintip macOS yang tidak pernah dilihat sebelum ini di alam liar.
- Ia bukan perisian hasad tercanggih dan bergantung pada kebersihan keselamatan orang yang lemah untuk mencapai objektifnya.
-
Namun, mekanisme keselamatan yang komprehensif, seperti mod Lockdown Apple yang akan datang, adalah keperluan pada masa ini, kata pakar keselamatan.
Penyelidik keselamatan telah melihat perisian pengintip macOS baharu yang mengeksploitasi kelemahan yang telah ditambal untuk menangani perlindungan terbina dalam macOS. Penemuannya menyerlahkan kepentingan untuk mengikuti kemas kini sistem pengendalian.
Dubbed CloudMensis, perisian pengintip yang tidak diketahui sebelum ini, dikesan oleh penyelidik di ESET, secara eksklusif menggunakan perkhidmatan storan awan awam seperti pCloud, Dropbox dan lain-lain untuk berkomunikasi dengan penyerang dan untuk mengekstrak fail. Yang membimbangkan, ia mengeksploitasikan banyak kelemahan untuk memintas perlindungan terbina dalam macOS untuk mencuri fail anda.
"Keupayaannya jelas menunjukkan bahawa tujuan pengendalinya adalah untuk mengumpul maklumat daripada Mac mangsa dengan mengeluarkan dokumen, ketukan kekunci dan tangkapan skrin," tulis penyelidik ESET Marc-Etienne M. Léveillé. "Penggunaan kelemahan untuk menangani pengurangan macOS menunjukkan bahawa pengendali perisian hasad secara aktif cuba memaksimumkan kejayaan operasi pengintipan mereka."
Persistent Spyware
Penyelidik ESET mula-mula melihat perisian hasad baharu pada April 2022 dan menyedari ia boleh menyerang kedua-dua Intel yang lebih lama dan komputer berasaskan silikon Apple yang lebih baharu.
Mungkin aspek perisian pengintip yang paling menarik ialah selepas digunakan pada Mac mangsa, CloudMensis tidak mengelak daripada mengeksploitasi kelemahan Apple yang tidak dipadam dengan niat untuk memintas sistem Persetujuan dan Kawalan Ketelusan (TCC) macOS.
TCC direka bentuk untuk menggesa pengguna memberikan kebenaran apl untuk mengambil tangkapan skrin atau memantau acara papan kekunci. Ia menyekat apl daripada mengakses data pengguna sensitif dengan membolehkan pengguna macOS mengkonfigurasi tetapan privasi untuk apl yang dipasang pada sistem dan peranti mereka yang disambungkan ke Mac mereka, termasuk mikrofon dan kamera.
Peraturan disimpan dalam pangkalan data yang dilindungi oleh Perlindungan Integriti Sistem (SIP), yang memastikan bahawa hanya daemon TCC boleh mengubah suai pangkalan data.
Berdasarkan analisis mereka, penyelidik menyatakan bahawa CloudMensis menggunakan beberapa teknik untuk memintas TCC dan mengelakkan sebarang gesaan kebenaran, memperoleh akses tanpa halangan ke kawasan sensitif komputer, seperti skrin, storan boleh tanggal dan papan kekunci.
Pada komputer dengan SIP dilumpuhkan, perisian pengintip hanya akan memberikan kebenaran untuk mengakses peranti sensitif dengan menambahkan peraturan baharu pada pangkalan data TCC. Walau bagaimanapun, pada komputer yang SIP aktif, CloudMensis akan mengeksploitasi kelemahan yang diketahui untuk menipu TCC untuk memuatkan pangkalan data yang boleh ditulis oleh perisian pengintip.
Lindungi Diri Anda
"Kami biasanya menganggap apabila kami membeli produk Mac ia benar-benar selamat daripada perisian hasad dan ancaman siber, tetapi itu tidak selalu berlaku," kata George Gerchow, Ketua Pegawai Keselamatan, Sumo Logic, kepada Lifewire dalam pertukaran e-mel.
Gerchow menjelaskan keadaan semakin membimbangkan pada hari ini dengan ramai orang bekerja dari rumah atau dalam persekitaran hibrid menggunakan komputer peribadi. "Ini menggabungkan data peribadi dengan data perusahaan, mewujudkan kumpulan data yang terdedah dan diingini untuk penggodam," kata Gerchow.
Walaupun penyelidik mencadangkan menjalankan Mac terkini untuk sekurang-kurangnya menghalang perisian pengintip daripada memintas TCC, Gerchow percaya kedekatan peranti peribadi dan data perusahaan memerlukan penggunaan perisian pemantauan dan perlindungan yang komprehensif.
"Perlindungan titik akhir, yang sering digunakan oleh perusahaan, boleh dipasang secara individu oleh [orang] untuk memantau dan melindungi titik masuk pada rangkaian, atau sistem berasaskan awan, daripada perisian hasad yang canggih dan ancaman sifar hari yang berkembang," saran Gerchow. "Dengan mengelog data, pengguna boleh mengesan trafik baharu yang berpotensi tidak diketahui dan boleh laku dalam rangkaian mereka."
Ia mungkin kedengaran seperti berlebihan, tetapi penyelidik juga tidak keberatan menggunakan perlindungan komprehensif untuk melindungi orang daripada perisian pengintip, merujuk kepada Mod Lockdown yang Apple ditetapkan untuk diperkenalkan pada iOS, iPadOS dan macOS. Ia bertujuan untuk memberi pilihan kepada orang ramai untuk melumpuhkan ciri dengan mudah yang sering digunakan oleh penyerang untuk mengintip orang.
"Walaupun bukan perisian hasad tercanggih, CloudMensis mungkin salah satu sebab sesetengah pengguna ingin mendayakan pertahanan tambahan ini [mod Lockdown baharu]," kata para penyelidik. "Melumpuhkan pintu masuk, dengan mengorbankan pengalaman pengguna yang kurang lancar, terdengar seperti cara yang munasabah untuk mengurangkan permukaan serangan."