მთავარი წაღებები
- მკვლევარებმა შენიშნეს უნახავი macOS spyware ბუნებაში.
- ეს არ არის ყველაზე მოწინავე მავნე პროგრამა და ეყრდნობა ხალხის უსაფრთხოების ჰიგიენას თავისი მიზნების მისაღწევად.
უსაფრთხოების ექსპერტები ამტკიცებენ, რომ უსაფრთხოების ყოვლისმომცველი მექანიზმები, როგორიცაა Apple-ის მოახლოებული ჩაკეტვის რეჟიმი, არის დროის საჭიროება.
უსაფრთხოების მკვლევარებმა შენიშნეს macOS-ის ახალი ჯაშუშური პროგრამა, რომელიც იყენებს უკვე შესწორებულ დაუცველობებს macOS-ში ჩაშენებული დაცვის ირგვლივ მუშაობისთვის. მისი აღმოჩენა ხაზს უსვამს ოპერაციული სისტემის განახლებების თანმიმდევრობის მნიშვნელობას.
დუბლირებული CloudMensis, აქამდე უცნობი ჯაშუშური პროგრამა, რომელიც ESET-ის მკვლევარებმა დააფიქსირეს, ექსკლუზიურად იყენებს ღრუბლოვანი შენახვის სერვისებს, როგორიცაა pCloud, Dropbox და სხვები თავდამსხმელებთან კომუნიკაციისთვის და ფაილების ექსფილტრაციისთვის. შემაშფოთებელია, რომ ის იყენებს უამრავ დაუცველობას, რომ გვერდის ავლით macOS-ის ჩაშენებულ დაცვას, მოიპაროს თქვენი ფაილები.
"მისი შესაძლებლობები ნათლად აჩვენებს, რომ მისი ოპერატორების განზრახვა არის შეაგროვოს ინფორმაცია დაზარალებულთა Mac-ებიდან დოკუმენტების ექსფილტრაციით, კლავიშების დაჭერით და ეკრანის გადაღებით", - წერს ESET-ის მკვლევარი მარკ-ეტიენ მ.ლევეი. „დაუცველობის გამოყენება macOS-ის შემარბილებლების ირგვლივ გვიჩვენებს, რომ მავნე პროგრამის ოპერატორები აქტიურად ცდილობენ თავიანთი ჯაშუშური ოპერაციების წარმატების მაქსიმიზაციას.“
მუდმივი ჯაშუშური პროგრამა
ESET-ის მკვლევარებმა პირველად შენიშნეს ახალი მავნე პროგრამა 2022 წლის აპრილში და მიხვდნენ, რომ მას შეეძლო თავდასხმა როგორც ძველ Intel-ზე, ასევე Apple-ის სილიკონზე დაფუძნებულ ახალ კომპიუტერებზე.
შესაძლოა, ჯაშუშური პროგრამის ყველაზე თვალსაჩინო ასპექტი არის ის, რომ მსხვერპლის Mac-ზე განლაგების შემდეგ, CloudMensis არ ერიდება Apple-ის შეუცვლელი დაუცველობის გამოყენებას macOS გამჭვირვალობის თანხმობისა და კონტროლის (TCC) სისტემის გვერდის ავლით.
TCC შექმნილია იმისთვის, რომ მომხმარებელმა შესთავაზოს აპებს ეკრანის გადაღების ან კლავიატურის მოვლენების მონიტორინგის ნებართვა. ის ბლოკავს აპებს მომხმარებლის მგრძნობიარე მონაცემებზე წვდომისგან, რაც საშუალებას აძლევს macOS-ის მომხმარებლებს კონფიდენციალურობის პარამეტრები დააკონფიგურირონ მათ სისტემებზე და მათ Mac-თან დაკავშირებულ მოწყობილობებზე დაინსტალირებული აპებისთვის, მიკროფონებისა და კამერების ჩათვლით.
წესები ინახება მონაცემთა ბაზაში, რომელიც დაცულია სისტემის მთლიანობის დაცვის (SIP) მიერ, რაც უზრუნველყოფს, რომ მხოლოდ TCC დემონს შეუძლია მონაცემთა ბაზის შეცვლა.
მათი ანალიზის საფუძველზე, მკვლევარები აცხადებენ, რომ CloudMensis იყენებს რამდენიმე ტექნიკას TCC-ის გვერდის ავლით და ყოველგვარი ნებართვის მოთხოვნის თავიდან ასაცილებლად, კომპიუტერის მგრძნობიარე უბნებზე დაუბრკოლებელი წვდომის მისაღებად, როგორიცაა ეკრანი, მოსახსნელი მეხსიერება და კლავიატურა.
SIP გამორთული კომპიუტერებზე, ჯაშუშური პროგრამა უბრალოდ მისცემს თავს მგრძნობიარე მოწყობილობებზე წვდომის უფლებას TCC მონაცემთა ბაზაში ახალი წესების დამატებით. თუმცა, კომპიუტერებზე, რომლებზეც SIP არის აქტიური, CloudMensis გამოიყენებს ცნობილ დაუცველობებს, რათა მოატყუოს TCC და ჩატვირთოს მონაცემთა ბაზა, რომელზედაც შეიძლება ჩაწეროს spyware.
დაიცავი თავი
"ჩვენ ჩვეულებრივ ვვარაუდობთ, რომ როდესაც ვყიდულობთ Mac-ის პროდუქტს, ის სრულიად დაცულია მავნე პროგრამებისა და კიბერ საფრთხეებისგან, მაგრამ ეს ყოველთვის ასე არ არის," განუცხადა ჯორჯ გერჩოვმა, Sumo Logic-ის უსაფრთხოების მთავარმა ოფიცერმა Lifewire-ს ელფოსტის გაცვლაში..
გერჩოუმ განმარტა, რომ სიტუაცია კიდევ უფრო შემაშფოთებელია ამ დღეებში, როდესაც ბევრი ადამიანი მუშაობს სახლიდან ან ჰიბრიდულ გარემოში პერსონალური კომპიუტერების გამოყენებით. "ეს აერთიანებს პერსონალურ მონაცემებს საწარმოს მონაცემებთან, ქმნის დაუცველ და სასურველ მონაცემებს ჰაკერებისთვის", - აღნიშნა გერჩოვმა.
მიუხედავად იმისა, რომ მკვლევარები ვარაუდობენ განახლებული Mac-ის გაშვებას, რათა თავიდან აიცილონ spyware TCC-ის გვერდის ავლით, გერჩოუ თვლის, რომ პერსონალური მოწყობილობებისა და კომპანიის მონაცემების სიახლოვე მოითხოვს ყოვლისმომცველი მონიტორინგისა და დაცვის პროგრამული უზრუნველყოფის გამოყენებას.
"საწარმოების მიერ ხშირად გამოყენებული საბოლოო წერტილის დაცვა, შეიძლება დაინსტალირდეს ინდივიდუალურად [ადამიანების] მიერ, რათა დააკვირდეს და დაიცვან შესვლის წერტილები ქსელებში, ან ღრუბელზე დაფუძნებულ სისტემებზე, დახვეწილი მავნე პროგრამებისგან და ნულოვანი დღის საფრთხეებისგან", - ვარაუდობს გერჩოვი.. "მონაცემების აღრიცხვით მომხმარებლებს შეუძლიათ აღმოაჩინონ ახალი, პოტენციურად უცნობი ტრაფიკი და შესრულებადი ფაილები თავიანთ ქსელში."
შეიძლება ზედმეტად ჟღერდეს, მაგრამ მკვლევარებიც კი არ ერიდებიან ყოვლისმომცველი დაცვის გამოყენებას ჯაშუშური პროგრამებისგან დასაცავად, რაც გულისხმობს ჩაკეტვის რეჟიმს, რომელიც Apple-მა დანერგა iOS-ზე, iPadOS-სა და macOS-ზე. ის მიზნად ისახავს ხალხს შესაძლებლობას მისცეს მარტივად გამორთონ ფუნქციები, რომლებსაც თავდამსხმელები ხშირად იყენებენ ხალხის თვალთვალისთვის.
"მიუხედავად იმისა, რომ CloudMensis არ არის ყველაზე მოწინავე მავნე პროგრამა, შეიძლება იყოს ერთ-ერთი მიზეზი, რის გამოც ზოგიერთ მომხმარებელს სურს ამ დამატებითი დაცვის ჩართვა [დაბლოკვის ახალი რეჟიმი]", აღნიშნეს მკვლევარებმა. „შესასვლელი წერტილების გამორთვა, ნაკლებად თხევადი მომხმარებლის გამოცდილების ხარჯზე, ჟღერს თავდასხმის ზედაპირის შემცირების გონივრულ გზად."
