Belangrijkste afhaalrestaurants
- Onderzoekers hebben een nooit eerder geziene macOS-spyware in het wild gezien.
- Het is niet de meest geavanceerde malware en is afhankelijk van de slechte beveiligingshygiëne van mensen om zijn doelstellingen te bereiken.
-
Toch zijn uitgebreide beveiligingsmechanismen, zoals de aanstaande Lockdown-modus van Apple, de behoefte van het uur, beweren beveiligingsexperts.
Beveiligingsonderzoekers hebben een nieuwe macOS-spyware ontdekt die misbruik maakt van reeds gepatchte kwetsbaarheden om de in macOS ingebouwde beveiligingen te omzeilen. De ontdekking ervan benadrukt het belang van het bijhouden van updates van het besturingssysteem.
Dubbed CloudMensis, de voorheen onbekende spyware, ontdekt door onderzoekers van ESET, maakt uitsluitend gebruik van openbare cloudopslagservices zoals pCloud, Dropbox en andere om met de aanvallers te communiceren en om bestanden te exfiltreren. Het is zorgwekkend dat het misbruik maakt van een overvloed aan kwetsbaarheden om de ingebouwde beveiligingen van macOS te omzeilen om uw bestanden te stelen.
"De mogelijkheden laten duidelijk zien dat het de bedoeling van de operators is om informatie van de Macs van de slachtoffers te verzamelen door documenten, toetsaanslagen en schermafbeeldingen te exfiltreren", schreef ESET-onderzoeker Marc-Etienne M. Léveillé. "Het gebruik van kwetsbaarheden om macOS-beperkingen te omzeilen, toont aan dat de malware-operators actief proberen het succes van hun spionageactiviteiten te maximaliseren."
Persistente spyware
ESET-onderzoekers zagen de nieuwe malware voor het eerst in april 2022 en realiseerden zich dat het zowel de oudere Intel- als de nieuwere op silicium gebaseerde Apple-computers kon aanvallen.
Misschien het meest opvallende aspect van de spyware is dat CloudMensis, na te zijn ingezet op de Mac van een slachtoffer, er niet voor terugdeinst om ongepatchte Apple-kwetsbaarheden te misbruiken met de bedoeling het MacOS Transparency Consent and Control (TCC)-systeem te omzeilen.
TCC is ontworpen om de gebruiker te vragen apps toestemming te verlenen om schermopnamen te maken of toetsenbordgebeurtenissen te volgen. Het voorkomt dat apps toegang krijgen tot gevoelige gebruikersgegevens door macOS-gebruikers in staat te stellen privacy-instellingen te configureren voor apps die zijn geïnstalleerd op hun systemen en apparaten die zijn aangesloten op hun Mac, inclusief microfoons en camera's.
De regels worden opgeslagen in een database die wordt beschermd door de System Integrity Protection (SIP), die ervoor zorgt dat alleen de TCC-daemon de database kan wijzigen.
Op basis van hun analyse stellen de onderzoekers dat CloudMensis een aantal technieken gebruikt om TCC te omzeilen en toestemmingsprompts te vermijden, waardoor ongehinderde toegang wordt verkregen tot de gevoelige delen van de computer, zoals het scherm, verwijderbare opslag en de toetsenbord.
Op computers waarop SIP is uitgeschakeld, geeft de spyware zichzelf eenvoudigweg toestemming om toegang te krijgen tot de gevoelige apparaten door nieuwe regels toe te voegen aan de TCC-database. Op computers waarop SIP actief is, zal CloudMensis echter bekende kwetsbaarheden misbruiken om TCC te misleiden om een database te laden waarnaar de spyware kan schrijven.
Bescherm jezelf
"We gaan er gewoonlijk van uit dat wanneer we een Mac-product kopen, het volledig veilig is voor malware en cyberdreigingen, maar dat is niet altijd het geval", vertelde George Gerchow, Chief Security Officer, Sumo Logic, aan Lifewire in een e-mailuitwisseling.
Gerchow legde uit dat de situatie tegenwoordig nog zorgwekkender is met veel mensen die thuis of in een hybride omgeving werken met behulp van personal computers. "Dit combineert persoonlijke gegevens met bedrijfsgegevens, waardoor een pool van kwetsbare en wenselijke gegevens voor hackers ontstaat", merkte Gerchow op.
Terwijl de onderzoekers suggereren een up-to-date Mac te gebruiken om in ieder geval te voorkomen dat de spyware TCC omzeilt, is Gerchow van mening dat de nabijheid van persoonlijke apparaten en bedrijfsgegevens het gebruik van uitgebreide bewakings- en beveiligingssoftware vereist.
"Endpoint-beveiliging, vaak gebruikt door ondernemingen, kan individueel door [mensen] worden geïnstalleerd om toegangspunten op netwerken of cloudgebaseerde systemen te bewaken en te beschermen tegen geavanceerde malware en evoluerende zero-day-bedreigingen", stelt Gerchow voor.. "Door gegevens te loggen, kunnen gebruikers nieuw, mogelijk onbekend verkeer en uitvoerbare bestanden binnen hun netwerk detecteren."
Het klinkt misschien overdreven, maar zelfs de onderzoekers zijn niet vies van het gebruik van uitgebreide beveiligingen om mensen te beschermen tegen spyware, verwijzend naar de Lockdown-modus die Apple gaat introduceren op iOS, iPadOS en macOS. Het is bedoeld om mensen een optie te geven om gemakkelijk functies uit te schakelen die aanvallers vaak misbruiken om mensen te bespioneren.
"Hoewel het niet de meest geavanceerde malware is, kan CloudMensis een van de redenen zijn waarom sommige gebruikers deze extra verdediging [de nieuwe Lockdown-modus] willen inschakelen", merkten de onderzoekers op. "Het uitschakelen van toegangspunten, ten koste van een minder vloeiende gebruikerservaring, klinkt als een redelijke manier om het aanvalsoppervlak te verkleinen."
