Негизги алып салуулар
- Изилдөөчүлөр жапайы жаратылышта мурда болуп көрбөгөн macOS шпиондук программасын байкашты.
- Бул эң өнүккөн кесепеттүү программа эмес жана максаттарына жетүү үчүн адамдардын коопсуздук гигиенасына таянат.
-
Ошондой болсо да, Apple'дин жакында боло турган Lockdown режими сыяктуу комплекстүү коопсуздук механизмдери учурдун талабы экенин коопсуздук боюнча эксперттер ырасташат.
Коопсуздук боюнча изилдөөчүлөр macOS'тун жаңы шпиондук программасын байкашты, ал macOS'ко орнотулган коргоолордун айланасында иштөө үчүн мурунтан эле жамаачыланган аялууларды пайдаланган. Анын ачылышы операциялык тутум жаңыртууларынан кабардар болуунун маанилүүлүгүн баса белгилейт.
Дубляждуу CloudMensis, мурда белгисиз шпиондук программа, ESET изилдөөчүлөрү байкап, чабуулчулар менен баарлашуу жана файлдарды эксфильтрациялоо үчүн pCloud, Dropbox жана башкалар сыяктуу коомдук булут сактоо кызматтарын гана колдонот. Кооптондурарлык нерсе, ал файлдарыңызды уурдоо үчүн macOSтун орнотулган коргоолорун айланып өтүү үчүн көптөгөн кемчиликтерди пайдаланат.
"Анын мүмкүнчүлүктөрү анын операторлорунун максаты - документтерди, баскычтарды басууларды жана экранды басып чыгаруу аркылуу жабырлануучулардын Mac компьютеринен маалымат чогултуу экенин ачык көрсөтүп турат", - деп жазган ESET изилдөөчүсү Марк-Этьен М. Левейле. "MacOSтун жумшартууларынын айланасында иштөө үчүн аялуу жерлерди колдонуу кесепеттүү программанын операторлору өздөрүнүн шпиондук операцияларынын ийгилигин жогорулатууга жигердүү аракет кылып жатканын көрсөтүп турат."
Туруктуу шпиондук программа
ESET изилдөөчүлөрү жаңы кесепеттүү программаны биринчи жолу 2022-жылдын апрель айында байкашкан жана ал эски Intelге да, Apple кремнийге негизделген жаңы компьютерлерине да кол салышы мүмкүн экенин түшүнүшкөн.
Балким, шпиондук программанын эң таң калыштуу жагы, жабырлануучунун Mac компьютеринде орнотулгандан кийин, CloudMensis MacOSтун ачыктыгына макулдук берүү жана көзөмөлдөө (TCC) тутумун айланып өтүү максатында Apple'дин жаңыланбаган кемчиликтерин пайдалануудан тартынбайт.
TCC колдонуучуну колдонмолорго экранды тартууга же клавиатура окуяларын көзөмөлдөөгө уруксат берүү үчүн иштелип чыккан. Ал macOS колдонуучуларына алардын тутумдарында орнотулган колдонмолордо жана Mac компьютерлерине туташкан түзмөктөрдө, анын ичинде микрофондор менен камераларда купуялык жөндөөлөрүн конфигурациялоого мүмкүнчүлүк берип, колдонмолордун колдонуучунун купуя дайындарына кирүүсүнө бөгөт коёт.
Эрежелер тутумдун бүтүндүгүн коргоо (SIP) менен корголгон маалымат базасында сакталат, бул маалымат базасын TCC демону гана өзгөртүшүн камсыздайт.
Алардын анализинин негизинде изилдөөчүлөр CloudMensis TCCти айланып өтүү жана эч кандай уруксат сурамдарынан качуу үчүн компьютердин экран, алынуучу сактагыч жана компьютердин сезимтал жерлерине тоскоолдуксуз кирүү үчүн бир нече ыкмаларды колдоноорун айтышат. клавиатура.
SIP өчүрүлгөн компьютерлерде шпиондук программа TCC маалымат базасына жаңы эрежелерди кошуу менен сезимтал түзмөктөргө кирүүгө жөн гана уруксат берет. Бирок, SIP активдүү болгон компьютерлерде CloudMensis TCCти алдап, шпиондук программа жаза ала турган маалымат базасын жүктөө үчүн белгилүү кемчиликтерди пайдаланат.
Өзүңүздү коргоңуз
"Биз, адатта, биз Mac продуктуну сатып алганда, ал кесепеттүү программалардан жана киберкоркунучтардан толугу менен коопсуз деп ойлойбуз, бирок бул дайыма эле боло бербейт", - деди Джордж Герчов, Sumo Logic компаниясынын коопсуздук боюнча башкы адиси Lifewireге электрондук кат алмашууда..
Герчоу бул күндөрү үйдөн же гибриддик чөйрөдө персоналдык компьютерлерди колдонуп иштеген көптөгөн адамдар кырдаалды ого бетер тынчсыздандырарын түшүндүрдү. "Бул жеке маалыматтарды ишкананын маалыматтары менен бириктирип, хакерлер үчүн аялуу жана керектүү маалыматтардын бассейнин түзөт" деп белгиледи Герчов.
Изилдөөчүлөр жок дегенде шпиондук программанын TCCти кыйгап өтүшүнө жол бербөө үчүн заманбап Mac иштетүүнү сунуштаса, Герчов жеке түзмөктөр менен ишкана маалыматтарынын жакындыгы комплекстүү мониторинг жана коргоо программасын колдонууну талап кылат деп эсептейт.
"Ишканалар көп колдонулган акыркы чекиттен коргоону [адамдар] жекече орнотуп, тармактардагы же булуттагы системалардагы кирүү чекиттерин татаал кесепеттүү программалардан жана өнүгүп жаткан нөл күндүк коркунучтардан коргой алат ", - деп сунуштады Герчов. "Маалыматтарды каттоо менен колдонуучулар жаңы, потенциалдуу белгисиз трафикти жана алардын тармагындагы аткарылуучу файлдарды аныктай алышат."
Бул ашыкча сезилиши мүмкүн, бирок изилдөөчүлөр да Apple iOS, iPadOS жана macOSко киргизе турган кулпулоо режимине таянып, адамдарды шпиондук программадан коргоо үчүн комплекстүү коргоону колдонууну каалабайт. Бул адамдарга чабуулчулар адамдарды аңдоо үчүн пайдаланган функцияларды оңой өчүрүү мүмкүнчүлүгүн берүү үчүн арналган.
"Эң өнүккөн зыяндуу программа болбосо да, CloudMensis кээ бир колдонуучулар бул кошумча коргонууну [жаңы Lockdown режимин] иштеткиси келген себептердин бири болушу мүмкүн", - деп белгилешти изилдөөчүлөр. "Кирүү чекиттерин өчүрүү, колдонуучунун азыраак тажрыйбасынын эсебинен, чабуулдун бетин кыскартуунун акылга сыярлык жолу сыяктуу угулат."