MacOS-ի նոր չարամիտ ծրագիրն օգտագործում է մի քանի հնարքներ՝ ձեզ լրտեսելու համար

Բովանդակություն:

MacOS-ի նոր չարամիտ ծրագիրն օգտագործում է մի քանի հնարքներ՝ ձեզ լրտեսելու համար
MacOS-ի նոր չարամիտ ծրագիրն օգտագործում է մի քանի հնարքներ՝ ձեզ լրտեսելու համար
Anonim

Հիմնական տանողներ

  • Հետազոտողները հայտնաբերել են վայրի բնության մեջ երբեք չտեսած macOS լրտեսող ծրագիր:
  • Սա ամենաառաջադեմ չարամիտ ծրագիրը չէ և իր նպատակներին հասնելու համար ապավինում է մարդկանց անվտանգության վատ հիգիենային:
  • Դեռևս անվտանգության համապարփակ մեխանիզմները, ինչպիսին է Apple-ի առաջիկա Lockdown ռեժիմը, ժամանակի կարիքն են, պնդում են անվտանգության փորձագետները:

Image
Image

Անվտանգության հետազոտողները հայտնաբերել են macOS-ի նոր լրտեսող ծրագիր, որն օգտագործում է արդեն իսկ կարկատված խոցելիությունները՝ macOS-ում ներկառուցված պաշտպանությունների շուրջ աշխատելու համար: Դրա բացահայտումը ընդգծում է օպերացիոն համակարգի թարմացումներին հետևելու կարևորությունը:

Կապված CloudMensis՝ նախկինում անհայտ լրտեսող ծրագիրը, որը նկատվել է ESET-ի հետազոտողների կողմից, բացառապես օգտագործում է հանրային ամպային պահպանման ծառայություններ, ինչպիսիք են pCloud, Dropbox և այլն՝ հարձակվողների հետ շփվելու և ֆայլեր արտազատելու համար: Մտահոգիչն այն է, որ այն օգտագործում է բազմաթիվ խոցելիություններ՝ շրջանցելու macOS-ի ներկառուցված պաշտպանությունը՝ ձեր ֆայլերը գողանալու համար:

«Դրա հնարավորությունները հստակ ցույց են տալիս, որ օպերատորների նպատակն է տեղեկություններ հավաքել զոհերի Mac-ից՝ փաստաթղթերի արտահոսքով, ստեղնաշարերով և էկրանի նկարահանմամբ», - գրել է ESET-ի հետազոտող Մարկ-Էտյեն Մ. Լևեյը: «MacOS-ի մեղմացման համար խոցելիության օգտագործումը ցույց է տալիս, որ չարամիտ օպերատորներն ակտիվորեն փորձում են առավելագույնի հասցնել իրենց լրտեսական գործողությունների հաջողությունը»:

Հաստատակամ լրտեսող ծրագիր

ESET-ի հետազոտողները առաջին անգամ նկատեցին նոր չարամիտ ծրագիրը 2022 թվականի ապրիլին և հասկացան, որ այն կարող է հարձակվել ինչպես հին Intel-ի, այնպես էլ Apple-ի սիլիկոնային վրա հիմնված ավելի նոր համակարգիչների վրա:

Հնարավոր է, որ լրտեսող ծրագրերի ամենավառ կողմն այն է, որ զոհի Mac-ում տեղակայվելուց հետո CloudMensis-ը չի խուսափում օգտագործել Apple-ի չփակված խոցելիությունները՝ նպատակ ունենալով շրջանցել macOS-ի թափանցիկության համաձայնության և վերահսկման (TCC) համակարգը:

TCC-ը նախատեսված է օգտատիրոջը հուշելու թույլտվություն տալ հավելվածներին՝ լուսանկարելու էկրանը կամ վերահսկելու ստեղնաշարի իրադարձությունները: Այն արգելափակում է հավելվածներին մուտք գործել օգտատերերի զգայուն տվյալներ՝ հնարավորություն տալով macOS-ի օգտատերերին կարգավորել գաղտնիության կարգավորումները իրենց համակարգերում և իրենց Mac-ին միացված սարքերում տեղադրված հավելվածների համար, ներառյալ խոսափողները և տեսախցիկները:

Կանոնները պահվում են տվյալների բազայում, որը պաշտպանված է System Integrity Protection-ի (SIP) կողմից, որը երաշխավորում է, որ միայն TCC դեյմոնը կարող է փոփոխել տվյալների բազան:

Հիմնվելով իրենց վերլուծության վրա՝ հետազոտողները նշում են, որ CloudMensis-ը օգտագործում է մի քանի տեխնիկա՝ TCC-ին շրջանցելու և թույլտվության ցանկացած հուշումներից խուսափելու համար՝ ստանալով անարգել մուտք դեպի համակարգչի զգայուն տարածքներ, ինչպիսիք են էկրանը, շարժական պահեստը և ստեղնաշար։

SIP անջատված համակարգիչների վրա լրտեսող ծրագիրն իրեն պարզապես թույլ կտա մուտք գործել զգայուն սարքեր՝ ավելացնելով նոր կանոններ TCC տվյալների բազայում: Այնուամենայնիվ, այն համակարգիչների վրա, որոնց վրա SIP-ն ակտիվ է, CloudMensis-ը կօգտագործի հայտնի խոցելիությունները՝ խաբելու համար TCC-ին՝ բեռնելու տվյալների բազան, որում կարող է գրել լրտեսող ծրագիրը:

Պաշտպանեք ինքներդ

«Մենք սովորաբար ենթադրում ենք, որ երբ մենք գնում ենք Mac-ի արտադրանքը, այն լիովին անվտանգ է չարամիտ ծրագրերից և կիբեր սպառնալիքներից, բայց դա միշտ չէ, որ այդպես է», - ասաց Ջորջ Գերչովը, Sumo Logic-ի անվտանգության գլխավոր տնօրենը, Lifewire-ին էլփոստի փոխանակման ժամանակ:.

Գերչովը բացատրեց, որ իրավիճակն առավել անհանգստացնող է այս օրերին, երբ շատ մարդիկ աշխատում են տնից կամ հիբրիդային միջավայրում՝ օգտագործելով անհատական համակարգիչներ: «Սա համատեղում է անձնական տվյալները ձեռնարկության տվյալների հետ՝ ստեղծելով հաքերների համար խոցելի և ցանկալի տվյալների լողավազան», - նշել է Գերչովը:

Image
Image

Չնայած հետազոտողներն առաջարկում են գործարկել արդի Mac՝ գոնե կանխելու լրտեսող ծրագրերի կողմից TCC-ի շրջանցումը, Գերչովը կարծում է, որ անձնական սարքերի և ձեռնարկության տվյալների մոտ լինելը պահանջում է համապարփակ մոնիտորինգի և պաշտպանության ծրագրակազմի օգտագործում:

«Վերջնակետի պաշտպանությունը, որը հաճախ օգտագործվում է ձեռնարկությունների կողմից, կարող է անհատապես տեղադրվել [մարդկանց] կողմից՝ ցանցերի կամ ամպի վրա հիմնված համակարգերի մուտքի կետերը վերահսկելու և պաշտպանելու համար բարդ չարամիտ ծրագրերից և զարգացող զրոյական օրվա սպառնալիքներից», - առաջարկեց Գերչովը:. «Տվյալները գրանցելով՝ օգտվողները կարող են հայտնաբերել նոր, պոտենցիալ անհայտ երթևեկություն և գործարկվող նյութեր իրենց ցանցում»:

Դա կարող է չափազանց մեծ թվալ, բայց նույնիսկ հետազոտողները չեն ցանկանում օգտագործել համապարփակ պաշտպանություն՝ մարդկանց լրտեսող ծրագրերից պաշտպանելու համար՝ նկատի ունենալով արգելափակման ռեժիմը, որը Apple-ը պատրաստվում է ներկայացնել iOS-ի, iPadOS-ի և macOS-ի վրա: Այն կոչված է մարդկանց հնարավորություն տալ հեշտությամբ անջատել գործառույթները, որոնք հարձակվողները հաճախ օգտագործում են մարդկանց լրտեսելու համար:

«Չնայած CloudMensis-ը ամենաառաջադեմ չարամիտ ծրագիր չէ, կարող է լինել պատճառներից մեկը, որ որոշ օգտատերեր կցանկանան միացնել այս լրացուցիչ պաշտպանությունը [արգելափակման նոր ռեժիմը]», - նշում են հետազոտողները: «Մուտքի կետերի անջատումը, ի հաշիվ ավելի քիչ հեղուկ օգտագործողի փորձի, հնչում է որպես հարձակման մակերեսը նվազեցնելու ողջամիտ միջոց:«

Խորհուրդ ենք տալիս: