تستخدم برامج macOS الضارة الجديدة عدة حيل للتجسس عليك

جدول المحتويات:

تستخدم برامج macOS الضارة الجديدة عدة حيل للتجسس عليك
تستخدم برامج macOS الضارة الجديدة عدة حيل للتجسس عليك
Anonim

الوجبات الجاهزة الرئيسية

  • اكتشف الباحثون برنامج تجسس macOS لم يسبق له مثيل في البرية.
  • إنه ليس البرنامج الضار الأكثر تقدمًا ويعتمد على النظافة الأمنية السيئة للأشخاص لتحقيق أهدافه.
  • ومع ذلك ، فإن آليات الأمان الشاملة ، مثل وضع Lockdown القادم من Apple ، هي حاجة الساعة ، كما يجادل خبراء الأمن.

Image
Image

اكتشف باحثو الأمن برنامج تجسس macOS جديد يستغل الثغرات الأمنية المصححة بالفعل للتغلب على الحماية المضمنة في macOS. يسلط اكتشافه الضوء على أهمية مواكبة تحديثات نظام التشغيل.

Dubbed CloudMensis ، برنامج التجسس غير المعروف سابقًا ، والذي اكتشفه الباحثون في ESET ، يستخدم حصريًا خدمات التخزين السحابية العامة مثل pCloud و Dropbox وغيرهما للتواصل مع المهاجمين ولتسريب الملفات. بشكل مقلق ، فإنه يستغل عددًا كبيرًا من الثغرات الأمنية لتجاوز الحماية المضمنة في macOS لسرقة ملفاتك.

"تُظهر قدراتها بوضوح أن نية مشغليها هي جمع المعلومات من أجهزة Mac للضحايا عن طريق إخراج المستندات وضغطات المفاتيح ولقطات الشاشة" ، كما كتب الباحث في ESET Marc-Etienne M. Léveillé. "يُظهر استخدام الثغرات الأمنية للتغلب على عوامل التخفيف في macOS أن مشغلي البرامج الضارة يحاولون بنشاط زيادة نجاح عمليات التجسس الخاصة بهم."

برامج التجسس المستمرة

اكتشف باحثو ESET لأول مرة البرنامج الضار الجديد في أبريل 2022 وأدركوا أنه يمكن أن يهاجم كلاً من أجهزة الكمبيوتر الأقدم من Intel وأجهزة كمبيوتر Apple القائمة على السيليكون.

ربما يكون الجانب الأكثر لفتًا للانتباه في برنامج التجسس هو أنه بعد نشره على جهاز Mac الخاص بالضحية ، لا يخجل CloudMensis من استغلال ثغرات Apple التي لم يتم إصلاحها بهدف تجاوز نظام macOS للموافقة على الشفافية والتحكم (TCC).

تم تصميم TCC لمطالبة المستخدم بمنح إذن التطبيقات لأخذ لقطات الشاشة أو مراقبة أحداث لوحة المفاتيح. يمنع التطبيقات من الوصول إلى بيانات المستخدم الحساسة من خلال تمكين مستخدمي macOS من تكوين إعدادات الخصوصية للتطبيقات المثبتة على أنظمتهم وأجهزتهم المتصلة بأجهزة Mac الخاصة بهم ، بما في ذلك الميكروفونات والكاميرات.

يتم حفظ القواعد داخل قاعدة بيانات محمية بواسطة حماية سلامة النظام (SIP) ، مما يضمن أن البرنامج الخفي فقط TCC يمكنه تعديل قاعدة البيانات.

بناءً على تحليلهم ، ذكر الباحثون أن CloudMensis تستخدم طريقتين لتجاوز TCC وتجنب أي مطالبات إذن ، والحصول على وصول دون عوائق إلى المناطق الحساسة من الكمبيوتر ، مثل الشاشة ، والتخزين القابل للإزالة ، و لوحة المفاتيح.

على أجهزة الكمبيوتر مع تعطيل SIP ، يمنح برنامج التجسس نفسه ببساطة أذونات للوصول إلى الأجهزة الحساسة عن طريق إضافة قواعد جديدة إلى قاعدة بيانات TCC. ومع ذلك ، على أجهزة الكمبيوتر التي يكون SIP نشطًا عليها ، ستستغل CloudMensis نقاط الضعف المعروفة لخداع TCC لتحميل قاعدة بيانات يمكن لبرنامج التجسس الكتابة إليها.

احمِ نفسك

"نفترض عادةً أنه عند شراء منتج Mac يكون آمنًا تمامًا من البرامج الضارة والتهديدات الإلكترونية ، ولكن هذا ليس هو الحال دائمًا" ، هذا ما قاله جورج غيرشو ، كبير مسؤولي الأمن في Sumo Logic ، لـ Lifewire في تبادل عبر البريد الإلكتروني

أوضح جيرشو أن الوضع أكثر إثارة للقلق هذه الأيام مع عمل العديد من الأشخاص من المنزل أو في بيئة هجينة باستخدام أجهزة الكمبيوتر الشخصية. وأشار غيرشو إلى أن "هذا يجمع البيانات الشخصية مع بيانات المؤسسة ، مما يؤدي إلى إنشاء مجموعة من البيانات الضعيفة والمرغوبة للمتسللين".

Image
Image

بينما يقترح الباحثون تشغيل جهاز Mac محدث لمنع برامج التجسس على الأقل من تجاوز TCC ، يعتقد Gerchow قرب الأجهزة الشخصية واستدعاءات بيانات المؤسسة لاستخدام برامج مراقبة وحماية شاملة.

"حماية نقطة النهاية ، التي تستخدمها المؤسسات بشكل متكرر ، يمكن تثبيتها بشكل فردي بواسطة [الأشخاص] لمراقبة وحماية نقاط الدخول على الشبكات ، أو الأنظمة المستندة إلى السحابة ، من البرامج الضارة المعقدة وتهديدات يوم الصفر المتطورة ،" اقترح غيرشو. "من خلال تسجيل البيانات ، يمكن للمستخدمين اكتشاف حركة مرور جديدة وغير معروفة والملفات التنفيذية داخل شبكتهم."

قد يبدو الأمر وكأنه مبالغة ، ولكن حتى الباحثين لا يكرهون استخدام الحماية الشاملة لحماية الأشخاص من برامج التجسس ، في إشارة إلى وضع التأمين الذي تم تعيين Apple لتقديمه على iOS و iPadOS و macOS. من المفترض أن يمنح الأشخاص خيارًا لتعطيل الميزات التي يستغلها المهاجمون بشكل متكرر للتجسس على الأشخاص بسهولة.

"على الرغم من أن CloudMensis ليس البرنامج الضار الأكثر تقدمًا ، إلا أنه قد يكون أحد الأسباب التي تجعل بعض المستخدمين يرغبون في تمكين هذا الدفاع الإضافي [وضع Lockdown الجديد] ،" لاحظ الباحثون. "يبدو أن تعطيل نقاط الدخول ، على حساب تجربة المستخدم الأقل مرونة ، وسيلة معقولة لتقليل سطح الهجوم."

موصى به: