Da asporto chiave
- I ricercatori hanno individuato uno spyware macOS mai visto prima in natura.
- Non è il malware più avanzato e si basa sulla scarsa igiene della sicurezza delle persone per raggiungere i suoi obiettivi.
-
Tuttavia, meccanismi di sicurezza completi, come l'imminente modalità di blocco di Apple, sono la necessità del momento, sostengono gli esperti di sicurezza.
I ricercatori della sicurezza hanno individuato un nuovo spyware per macOS che sfrutta le vulnerabilità già corrette per aggirare le protezioni integrate in macOS. La sua scoperta sottolinea l'importanza di stare al passo con gli aggiornamenti del sistema operativo.
Doppiato CloudMensis, lo spyware precedentemente sconosciuto, individuato dai ricercatori di ESET, utilizza esclusivamente servizi di archiviazione su cloud pubblico come pCloud, Dropbox e altri per comunicare con gli aggressori e per esfiltrare i file. Preoccupante, sfrutta una pletora di vulnerabilità per aggirare le protezioni integrate di macOS per rubare i tuoi file.
"Le sue capacità mostrano chiaramente che l'intento dei suoi operatori è quello di raccogliere informazioni dai Mac delle vittime esfiltrando documenti, sequenze di tasti e schermate", ha scritto il ricercatore ESET Marc-Etienne M. Léveillé. "L'utilizzo delle vulnerabilità per aggirare le mitigazioni di macOS mostra che gli operatori di malware stanno attivamente cercando di massimizzare il successo delle loro operazioni di spionaggio."
Spyware persistente
I ricercatori ESET hanno individuato per la prima volta il nuovo malware nell'aprile 2022 e si sono resi conto che poteva attaccare sia i vecchi computer Intel che i nuovi computer basati su silicio Apple.
Forse l'aspetto più sorprendente dello spyware è che dopo essere stato distribuito sul Mac di una vittima, CloudMensis non esita a sfruttare le vulnerabilità Apple senza patch con l'intenzione di aggirare il sistema di controllo e consenso della trasparenza di macOS (TCC).
TCC è progettato per richiedere all'utente di concedere alle app il permesso di acquisire schermate o monitorare gli eventi della tastiera. Impedisce alle app di accedere ai dati sensibili degli utenti consentendo agli utenti macOS di configurare le impostazioni sulla privacy per le app installate sui loro sistemi e dispositivi collegati ai loro Mac, inclusi microfoni e fotocamere.
Le regole vengono salvate all'interno di un database protetto da System Integrity Protection (SIP), che garantisce che solo il demone TCC possa modificare il database.
Sulla base della loro analisi, i ricercatori affermano che CloudMensis utilizza un paio di tecniche per aggirare il TCC ed evitare qualsiasi richiesta di autorizzazione, ottenendo l'accesso senza ostacoli alle aree sensibili del computer, come lo schermo, la memoria rimovibile e il tastiera.
Su computer con SIP disabilitato, lo spyware si concederà semplicemente le autorizzazioni per accedere ai dispositivi sensibili aggiungendo nuove regole al database TCC. Tuttavia, sui computer su cui è attivo SIP, CloudMensis sfrutterà le vulnerabilità note per indurre TCC a caricare un database in cui lo spyware può scrivere.
Proteggiti
"In genere supponiamo che quando acquistiamo un prodotto Mac sia completamente al sicuro da malware e minacce informatiche, ma non è sempre così", ha detto a Lifewire George Gerchow, Chief Security Officer di Sumo Logic in uno scambio di e-mail.
Gerchow ha spiegato che la situazione è ancora più preoccupante in questi giorni con molte persone che lavorano da casa o in un ambiente ibrido che utilizzano personal computer. "Questo combina i dati personali con i dati aziendali, creando un pool di dati vulnerabili e desiderabili per gli hacker", ha osservato Gerchow.
Mentre i ricercatori suggeriscono di eseguire un Mac aggiornato per almeno impedire allo spyware di aggirare il TCC, Gerchow ritiene che la vicinanza di dispositivi personali e dati aziendali richieda l'uso di un software completo di monitoraggio e protezione.
"La protezione degli endpoint, utilizzata frequentemente dalle aziende, può essere installata individualmente da [persone] per monitorare e proteggere i punti di accesso sulle reti o sui sistemi basati su cloud da malware sofisticati e minacce zero-day in evoluzione", ha suggerito Gerchow. "Registrando i dati, gli utenti possono rilevare traffico ed eseguibili nuovi potenzialmente sconosciuti all'interno della loro rete."
Può sembrare eccessivo, ma anche i ricercatori non sono contrari all'utilizzo di protezioni complete per proteggere le persone dallo spyware, riferendosi alla modalità di blocco che Apple dovrebbe introdurre su iOS, iPadOS e macOS. Ha lo scopo di offrire alle persone la possibilità di disabilitare facilmente le funzionalità che gli aggressori sfruttano frequentemente per spiare le persone.
"Sebbene non sia il malware più avanzato, CloudMensis potrebbe essere uno dei motivi per cui alcuni utenti vorrebbero abilitare questa difesa aggiuntiva [la nuova modalità di blocco]", hanno osservato i ricercatori. "Disabilitare i punti di ingresso, a scapito di un'esperienza utente meno fluida, sembra un modo ragionevole per ridurre la superficie di attacco."
