Önemli Bilgiler
- Araştırmacılar, vahşi doğada daha önce hiç görülmemiş bir macOS casus yazılımı tespit etti.
- En gelişmiş kötü amaçlı yazılım değildir ve hedeflerine ulaşmak için insanların zayıf güvenlik hijyenine güvenir.
-
Yine de, güvenlik uzmanlarına göre Apple'ın yaklaşan Kilitleme modu gibi kapsamlı güvenlik mekanizmaları günün ihtiyacıdır.
Güvenlik araştırmacıları, macOS'ta yerleşik korumaların çevresinde çalışmak için önceden yama uygulanmış güvenlik açıklarından yararlanan yeni bir macOS casus yazılımı keşfetti. Keşfi, işletim sistemi güncellemelerine ayak uydurmanın önemini vurgular.
Dubbed CloudMensis, ESET'teki araştırmacılar tarafından tespit edilen, önceden bilinmeyen casus yazılım, saldırganlarla iletişim kurmak ve dosyaları sızdırmak için yalnızca pCloud, Dropbox ve diğerleri gibi genel bulut depolama hizmetlerini kullanır. Endişe verici bir şekilde, dosyalarınızı çalmak için macOS'un yerleşik korumalarını atlamak için çok sayıda güvenlik açığından yararlanıyor.
ESET araştırmacısı Marc-Etienne M. Léveillé, "Yetenekleri, operatörlerinin amacının belgeleri, tuş vuruşlarını ve ekran görüntülerini sızdırarak kurbanların Mac'lerinden bilgi toplamak olduğunu açıkça gösteriyor" diye yazdı. "MacOS hafifletmelerine geçici bir çözüm bulmak için güvenlik açıklarının kullanılması, kötü amaçlı yazılım operatörlerinin casusluk işlemlerinin başarısını aktif olarak en üst düzeye çıkarmaya çalıştığını gösteriyor."
Kalıcı Casus Yazılım
ESET araştırmacıları yeni kötü amaçlı yazılımı ilk olarak Nisan 2022'de fark ettiler ve hem eski Intel'e hem de daha yeni Apple silikon tabanlı bilgisayarlara saldırabileceğini fark ettiler.
Casus yazılımın belki de en çarpıcı yönü, CloudMensis'in kurbanın Mac'inde konuşlandırıldıktan sonra macOS Şeffaflık Onay ve Kontrol (TCC) sistemini atlamak amacıyla yama uygulanmamış Apple güvenlik açıklarından yararlanmaktan çekinmemesidir.
TCC, kullanıcıdan uygulamalara ekran görüntüsü alma veya klavye olaylarını izleme izni vermesini istemek için tasarlanmıştır. MacOS kullanıcılarının sistemlerinde yüklü uygulamalar ve mikrofonlar ve kameralar da dahil olmak üzere Mac'lerine bağlı cihazlar için gizlilik ayarlarını yapılandırmasına olanak tanıyarak uygulamaların hassas kullanıcı verilerine erişmesini engeller.
Kurallar, yalnızca TCC arka plan programının veritabanını değiştirebilmesini sağlayan Sistem Bütünlüğü Koruması (SIP) tarafından korunan bir veritabanına kaydedilir.
Araştırmacılar, analizlerine dayanarak, CloudMensis'in TCC'yi atlamak ve herhangi bir izin isteminden kaçınmak için birkaç teknik kullandığını ve bilgisayarın ekran, çıkarılabilir depolama alanı gibi hassas alanlarına engelsiz erişim sağladığını belirtiyor. klavye.
SIP'nin devre dışı bırakıldığı bilgisayarlarda, casus yazılım, TCC veritabanına yeni kurallar ekleyerek hassas cihazlara erişim izni verir. Ancak, SIP'nin etkin olduğu bilgisayarlarda CloudMensis, casus yazılımın yazabileceği bir veritabanını yüklemek için TCC'yi kandırmak için bilinen güvenlik açıklarından yararlanır.
Kendini Koru
Sumo Logic Güvenlik Müdürü George Gerchow Lifewire'a bir e-posta alışverişinde "Genellikle bir Mac ürünü satın aldığımızda, bunun kötü amaçlı yazılımlara ve siber tehditlere karşı tamamen güvenli olduğunu varsayıyoruz, ancak durum her zaman böyle değil," dedi..
Gerchow, birçok insanın evden veya hibrit bir ortamda kişisel bilgisayarlarını kullanarak çalıştığı bu günlerde durumun daha da endişe verici olduğunu açıkladı. Gerchow, "Bu, kişisel verileri kurumsal verilerle birleştirerek bilgisayar korsanları için savunmasız ve arzu edilen bir veri havuzu oluşturuyor" dedi.
Araştırmacılar en azından casus yazılımın TCC'yi atlamasını önlemek için güncel bir Mac çalıştırmayı önerirken, Gerchow kişisel cihazların ve kurumsal verilerin yakınlığının kapsamlı izleme ve koruma yazılımlarının kullanılmasını gerektirdiğine inanıyor.
"İşletmeler tarafından sıklıkla kullanılan uç nokta koruması, ağlardaki veya bulut tabanlı sistemlerdeki giriş noktalarını gelişmiş kötü amaçlı yazılımlardan ve gelişen sıfır gün tehditlerinden izlemek ve korumak için [kişiler] tarafından ayrı ayrı kurulabilir," dedi Gerchow. "Kullanıcılar, verileri günlüğe kaydederek ağlarındaki yeni, potansiyel olarak bilinmeyen trafiği ve yürütülebilir dosyaları algılayabilir."
Aşırı gibi gelebilir, ancak Apple'ın iOS, iPadOS ve macOS'ta tanıtacağı Kilitleme Moduna atıfta bulunarak, araştırmacılar bile insanları casus yazılımlara karşı korumak için kapsamlı korumalar kullanmaktan çekinmiyorlar. İnsanlara, saldırganların insanları gözetlemek için sıklıkla kullandığı özellikleri kolayca devre dışı bırakma seçeneği sunmak içindir.
"En gelişmiş kötü amaçlı yazılım olmasa da, CloudMensis bazı kullanıcıların bu ek savunmayı [yeni Kilitleme modu] etkinleştirmek istemesinin nedenlerinden biri olabilir," diye belirtti araştırmacılar. "Daha az akıcı bir kullanıcı deneyimi pahasına giriş noktalarını devre dışı bırakmak, saldırı yüzeyini az altmak için makul bir yol gibi görünüyor."
