มัลแวร์ macOS ใหม่ใช้กลอุบายหลายอย่างในการสอดแนมคุณ

สารบัญ:

มัลแวร์ macOS ใหม่ใช้กลอุบายหลายอย่างในการสอดแนมคุณ
มัลแวร์ macOS ใหม่ใช้กลอุบายหลายอย่างในการสอดแนมคุณ
Anonim

ซื้อกลับบ้านที่สำคัญ

  • นักวิจัยพบสปายแวร์ macOS ที่ไม่เคยเห็นมาก่อน
  • ไม่ใช่มัลแวร์ที่ล้ำหน้าที่สุดและอาศัยสุขอนามัยด้านความปลอดภัยที่ไม่ดีของผู้คนเพื่อให้บรรลุเป้าหมาย
  • ถึงกระนั้น กลไกความปลอดภัยที่ครอบคลุม เช่น โหมด Lockdown ที่กำลังจะมีขึ้นของ Apple ก็เป็นความต้องการชั่วโมงนี้ โต้แย้งกับผู้เชี่ยวชาญด้านความปลอดภัย

Image
Image

นักวิจัยด้านความปลอดภัยพบสปายแวร์ macOS ตัวใหม่ที่ใช้ประโยชน์จากช่องโหว่ที่แพตช์แล้วเพื่อแก้ไขการป้องกันที่มีอยู่ใน macOS การค้นพบนี้เน้นย้ำถึงความสำคัญของการติดตามการอัปเดตระบบปฏิบัติการ

ขนานนามว่า CloudMensis สปายแวร์ที่ไม่เคยรู้จักมาก่อน ซึ่งถูกค้นพบโดยนักวิจัยที่ ESET ใช้บริการพื้นที่เก็บข้อมูลบนคลาวด์สาธารณะ เช่น pCloud, Dropbox และอื่นๆ เพื่อสื่อสารกับผู้โจมตี และสำหรับการสกัดไฟล์ น่าเป็นห่วง มันใช้ประโยชน์จากช่องโหว่มากมายเพื่อหลีกเลี่ยงการป้องกันในตัวของ macOS เพื่อขโมยไฟล์ของคุณ

"ความสามารถของมันแสดงให้เห็นชัดเจนว่าเจตนาของผู้ปฏิบัติงานคือการรวบรวมข้อมูลจากเครื่อง Mac ของเหยื่อโดยการกรองเอกสาร การกดแป้นพิมพ์ และการจับภาพหน้าจอ" Marc-Etienne M. Léveillé นักวิจัยของ ESET เขียน "การใช้ช่องโหว่เพื่อแก้ไขการบรรเทา macOS แสดงให้เห็นว่าตัวดำเนินการมัลแวร์กำลังพยายามอย่างเต็มที่เพื่อเพิ่มความสำเร็จในการสอดแนมของพวกเขา"

สปายแวร์ถาวร

นักวิจัยของ ESET พบมัลแวร์ตัวใหม่ครั้งแรกในเดือนเมษายน 2022 และตระหนักว่าสามารถโจมตีทั้ง Intel รุ่นเก่าและคอมพิวเตอร์ที่ใช้ซิลิคอนของ Apple รุ่นใหม่ได้

บางทีสิ่งที่โดดเด่นที่สุดของสปายแวร์ก็คือหลังจากที่ใช้งานบน Mac ของเหยื่อแล้ว CloudMensis ก็ไม่อายที่จะใช้ประโยชน์จากช่องโหว่ของ Apple ที่ไม่ได้รับการแก้ไขด้วยความตั้งใจที่จะข้ามระบบความยินยอมและการควบคุมความโปร่งใสของ macOS (TCC)

TCC ออกแบบมาเพื่อให้ผู้ใช้อนุญาตแอปในการจับภาพหน้าจอหรือตรวจสอบกิจกรรมของแป้นพิมพ์ โดยจะบล็อกไม่ให้แอปเข้าถึงข้อมูลผู้ใช้ที่มีความละเอียดอ่อนโดยทำให้ผู้ใช้ macOS สามารถกำหนดการตั้งค่าความเป็นส่วนตัวสำหรับแอปที่ติดตั้งบนระบบและอุปกรณ์ที่เชื่อมต่อกับ Mac รวมถึงไมโครโฟนและกล้อง

กฎจะถูกบันทึกไว้ในฐานข้อมูลที่ป้องกันโดย System Integrity Protection (SIP) ซึ่งทำให้มั่นใจได้ว่ามีเพียง TCC daemon เท่านั้นที่สามารถแก้ไขฐานข้อมูลได้

จากการวิเคราะห์ของพวกเขา นักวิจัยระบุว่า CloudMensis ใช้เทคนิคสองสามอย่างในการเลี่ยงผ่าน TCC และหลีกเลี่ยงการแจ้งการอนุญาตใดๆ เข้าถึงพื้นที่อ่อนไหวของคอมพิวเตอร์ได้โดยไม่มีการจำกัด เช่น หน้าจอ ที่เก็บข้อมูลแบบถอดได้ และ แป้นพิมพ์

ในคอมพิวเตอร์ที่ปิดใช้งาน SIP สปายแวร์จะให้สิทธิ์ตัวเองในการเข้าถึงอุปกรณ์ที่มีความละเอียดอ่อนโดยเพิ่มกฎใหม่ลงในฐานข้อมูล TCC อย่างไรก็ตาม ในคอมพิวเตอร์ที่เปิดใช้งาน SIP CloudMensis จะใช้ช่องโหว่ที่รู้จักเพื่อหลอก TCC ให้โหลดฐานข้อมูลที่สปายแวร์สามารถเขียนได้

ปกป้องตัวเอง

"โดยปกติเราคิดว่าเมื่อเราซื้อผลิตภัณฑ์ Mac จะปลอดภัยจากมัลแวร์และภัยคุกคามทางไซเบอร์ แต่นั่นไม่ใช่กรณีเสมอไป" George Gerchow หัวหน้าเจ้าหน้าที่รักษาความปลอดภัยของ Sumo Logic กล่าวกับ Lifewire ในการแลกเปลี่ยนอีเมล.

Gerchow อธิบายว่าสถานการณ์ทุกวันนี้น่ากังวลยิ่งขึ้นไปอีก เนื่องจากผู้คนจำนวนมากทำงานจากที่บ้านหรือในสภาพแวดล้อมแบบไฮบริดโดยใช้คอมพิวเตอร์ส่วนบุคคล "สิ่งนี้รวมข้อมูลส่วนบุคคลเข้ากับข้อมูลองค์กร สร้างกลุ่มข้อมูลที่เปราะบางและเป็นที่ต้องการสำหรับแฮกเกอร์" Gerchow กล่าว

Image
Image

ในขณะที่นักวิจัยแนะนำให้ใช้ Mac เวอร์ชันล่าสุดเพื่อป้องกันไม่ให้สปายแวร์ข้าม TCC อย่างน้อย แต่ Gerchow เชื่อว่าอุปกรณ์ส่วนบุคคลและข้อมูลองค์กรที่ใกล้เคียงกันเรียกร้องให้ใช้ซอฟต์แวร์ตรวจสอบและป้องกันที่ครอบคลุม

"การป้องกันปลายทางซึ่งมักใช้โดยองค์กร สามารถติดตั้งทีละคนโดย [คน] เพื่อตรวจสอบและปกป้องจุดเข้าใช้งานบนเครือข่ายหรือระบบบนคลาวด์ จากมัลแวร์ที่ซับซ้อนและภัยคุกคามซีโร่เดย์ที่พัฒนาขึ้น" Gerchow แนะนำ. "ด้วยการบันทึกข้อมูล ผู้ใช้สามารถตรวจจับทราฟฟิกใหม่ที่อาจไม่รู้จักและไฟล์เรียกทำงานภายในเครือข่ายของพวกเขา"

อาจฟังดูเกินจริง แต่ถึงกระนั้นนักวิจัยก็ไม่รังเกียจที่จะใช้การป้องกันที่ครอบคลุมเพื่อป้องกันสปายแวร์ โดยอ้างถึงโหมดล็อคดาวน์ที่ Apple กำหนดให้เปิดตัวบน iOS, iPadOS และ macOS มีขึ้นเพื่อให้ผู้คนมีตัวเลือกในการปิดใช้งานคุณลักษณะที่ผู้โจมตีมักใช้เพื่อสอดแนมผู้คนอย่างง่ายดาย

"แม้ว่าจะไม่ใช่มัลแวร์ที่ล้ำหน้าที่สุด แต่ CloudMensis อาจเป็นหนึ่งในเหตุผลที่ผู้ใช้บางคนต้องการเปิดใช้งานการป้องกันเพิ่มเติมนี้ [โหมด Lockdown ใหม่]" นักวิจัยตั้งข้อสังเกต "การปิดใช้งานจุดเข้าใช้งานโดยเสียประสบการณ์ของผู้ใช้ที่ลื่นไหลน้อยลง ดูเหมือนจะเป็นวิธีที่สมเหตุสมผลในการลดพื้นผิวการโจมตี"

แนะนำ: