Key Takeaways
- Forscher haben eine nie zuvor gesehene macOS-Spyware in freier Wildbahn entdeckt.
- Es ist nicht die fortschrittlichste Malware und verlässt sich auf die schlechte Sicherheitshygiene der Menschen, um ihre Ziele zu erreichen.
-
Dennoch sind umfassende Sicherheitsmechanismen wie Apples kommender Lockdown-Modus das Gebot der Stunde, argumentieren Sicherheitsexperten.
Sicherheitsforscher haben eine neue macOS-Spyware entdeckt, die bereits gepatchte Schwachstellen ausnutzt, um in macOS integrierte Schutzmaßnahmen zu umgehen. Seine Entdeckung unterstreicht, wie wichtig es ist, mit Betriebssystem-Updates Schritt zu h alten.
Dubbed CloudMensis, die zuvor unbekannte Spyware, die von Forschern bei ESET entdeckt wurde, verwendet ausschließlich öffentliche Cloud-Speicherdienste wie pCloud, Dropbox und andere, um mit den Angreifern zu kommunizieren und Dateien zu exfiltrieren. Besorgniserregend ist, dass es eine Vielzahl von Sicherheitslücken ausnutzt, um die integrierten Schutzmechanismen von macOS zu umgehen und Ihre Dateien zu stehlen.
"Seine Fähigkeiten zeigen deutlich, dass die Absicht seiner Betreiber darin besteht, Informationen von den Macs der Opfer zu sammeln, indem sie Dokumente, Tastenanschläge und Screenshots exfiltrieren", schrieb ESET-Forscher Marc-Etienne M. Léveillé. „Die Verwendung von Schwachstellen zur Umgehung von macOS-Abwehrmaßnahmen zeigt, dass die Malware-Betreiber aktiv versuchen, den Erfolg ihrer Spionageoperationen zu maximieren.“
Persistente Spyware
ESET-Forscher entdeckten die neue Malware erstmals im April 2022 und stellten fest, dass sie sowohl die älteren Intel- als auch die neueren Apple-Silizium-basierten Computer angreifen konnte.
Der vielleicht auffälligste Aspekt der Spyware ist, dass CloudMensis, nachdem es auf dem Mac eines Opfers installiert wurde, nicht davor zurückschreckt, ungepatchte Schwachstellen von Apple auszunutzen, um das macOS Transparency Consent and Control (TCC)-System zu umgehen.
TCC soll den Benutzer auffordern, Apps die Erlaubnis zu erteilen, Bildschirmaufnahmen zu machen oder Tastaturereignisse zu überwachen. Es verhindert, dass Apps auf vertrauliche Benutzerdaten zugreifen, indem es macOS-Benutzern ermöglicht, Datenschutzeinstellungen für Apps zu konfigurieren, die auf ihren Systemen und Geräten installiert sind, die mit ihren Macs verbunden sind, einschließlich Mikrofonen und Kameras.
Die Regeln werden in einer Datenbank gespeichert, die durch den Systemintegritätsschutz (SIP) geschützt ist, wodurch sichergestellt wird, dass nur der TCC-Daemon die Datenbank ändern kann.
Basierend auf ihrer Analyse geben die Forscher an, dass CloudMensis eine Reihe von Techniken verwendet, um TCC zu umgehen und jegliche Erlaubnisaufforderungen zu vermeiden, um ungehinderten Zugriff auf die sensiblen Bereiche des Computers zu erh alten, wie z. B. den Bildschirm, Wechseldatenträger und die Tastatur.
Auf Computern mit deaktiviertem SIP erteilt sich die Spyware einfach selbst Zugriffsrechte auf die sensiblen Geräte, indem neue Regeln zur TCC-Datenbank hinzugefügt werden. Auf Computern, auf denen SIP aktiv ist, nutzt CloudMensis jedoch bekannte Schwachstellen aus, um TCC dazu zu bringen, eine Datenbank zu laden, in die die Spyware schreiben kann.
Schützen Sie sich
„Normalerweise gehen wir beim Kauf eines Mac-Produkts davon aus, dass es absolut sicher vor Malware und Cyber-Bedrohungen ist, aber das ist nicht immer der Fall“, sagte George Gerchow, Chief Security Officer, Sumo Logic, gegenüber Lifewire in einem E-Mail-Austausch.
Gerchow erklärte, dass die Situation heutzutage noch besorgniserregender sei, da viele Menschen von zu Hause aus oder in einer hybriden Umgebung mit PCs arbeiten. „Dies kombiniert personenbezogene Daten mit Unternehmensdaten und schafft so einen Pool an gefährdeten und begehrten Daten für Hacker“, bemerkte Gerchow.
Während die Forscher vorschlagen, einen aktuellen Mac zu verwenden, um zumindest zu verhindern, dass die Spyware TCC umgeht, glaubt Gerchow, dass die Nähe von persönlichen Geräten und Unternehmensdaten den Einsatz umfassender Überwachungs- und Schutzsoftware erfordert.
"Endpoint Protection, häufig von Unternehmen verwendet, kann individuell von [Personen] installiert werden, um Zugangspunkte zu Netzwerken oder Cloud-basierten Systemen vor ausgeklügelter Malware und sich entwickelnden Zero-Day-Bedrohungen zu überwachen und zu schützen", schlug Gerchow vor. "Durch das Protokollieren von Daten können Benutzer neuen, potenziell unbekannten Datenverkehr und ausführbare Dateien in ihrem Netzwerk erkennen."
Es mag übertrieben klingen, aber selbst die Forscher sind nicht abgeneigt, Menschen umfassend vor Spyware zu schützen, und beziehen sich auf den Lockdown-Modus, den Apple für iOS, iPadOS und macOS einführen wird. Es soll Menschen die Möglichkeit geben, Funktionen, die Angreifer häufig ausnutzen, um Menschen auszuspionieren, einfach zu deaktivieren.
"Obwohl CloudMensis nicht die fortschrittlichste Malware ist, könnte es einer der Gründe sein, warum einige Benutzer diesen zusätzlichen Schutz [den neuen Lockdown-Modus] aktivieren möchten", stellten die Forscher fest. „Das Deaktivieren von Einstiegspunkten auf Kosten einer weniger flüssigen Benutzererfahrung klingt nach einer vernünftigen Möglichkeit, die Angriffsfläche zu reduzieren."
