Le nouveau logiciel malveillant macOS utilise plusieurs astuces pour vous espionner

Table des matières:

Le nouveau logiciel malveillant macOS utilise plusieurs astuces pour vous espionner
Le nouveau logiciel malveillant macOS utilise plusieurs astuces pour vous espionner
Anonim

Clé à emporter

  • Des chercheurs ont repéré un logiciel espion macOS jamais vu auparavant dans la nature.
  • Ce n'est pas le logiciel malveillant le plus avancé et s'appuie sur la mauvaise hygiène de sécurité des utilisateurs pour atteindre ses objectifs.
  • Pourtant, des mécanismes de sécurité complets, tels que le prochain mode de verrouillage d'Apple, sont le besoin de l'heure, affirment les experts en sécurité.

Image
Image

Les chercheurs en sécurité ont repéré un nouveau logiciel espion macOS qui exploite des vulnérabilités déjà corrigées pour contourner les protections intégrées à macOS. Sa découverte souligne l'importance de suivre les mises à jour du système d'exploitation.

Dubbed CloudMensis, le logiciel espion jusque-là inconnu, repéré par les chercheurs d'ESET, utilise exclusivement des services de stockage en nuage public tels que pCloud, Dropbox et d'autres pour communiquer avec les attaquants et pour exfiltrer des fichiers. Fait inquiétant, il exploite une pléthore de vulnérabilités pour contourner les protections intégrées de macOS afin de voler vos fichiers.

"Ses capacités montrent clairement que l'intention de ses opérateurs est de recueillir des informations sur les Mac des victimes en exfiltrant des documents, des frappes au clavier et des captures d'écran", a écrit Marc-Etienne M. Léveillé, chercheur chez ESET. "L'utilisation de vulnérabilités pour contourner les atténuations de macOS montre que les opérateurs de logiciels malveillants tentent activement de maximiser le succès de leurs opérations d'espionnage."

Spyware persistant

Les chercheurs d'ESET ont repéré le nouveau logiciel malveillant pour la première fois en avril 2022 et ont réalisé qu'il pouvait attaquer à la fois les anciens ordinateurs Intel et les nouveaux ordinateurs à base de silicium d'Apple.

L'aspect le plus frappant du logiciel espion est peut-être qu'après avoir été déployé sur le Mac de la victime, CloudMensis n'hésite pas à exploiter les vulnérabilités non corrigées d'Apple dans le but de contourner le système MacOS Transparency Consent and Control (TCC).

TCC est conçu pour inviter l'utilisateur à autoriser les applications à prendre des captures d'écran ou à surveiller les événements du clavier. Il empêche les applications d'accéder aux données utilisateur sensibles en permettant aux utilisateurs de macOS de configurer les paramètres de confidentialité des applications installées sur leurs systèmes et appareils connectés à leurs Mac, y compris les microphones et les caméras.

Les règles sont enregistrées dans une base de données protégée par la protection de l'intégrité du système (SIP), qui garantit que seul le démon TCC peut modifier la base de données.

Sur la base de leur analyse, les chercheurs déclarent que CloudMensis utilise quelques techniques pour contourner le TCC et éviter toute invite d'autorisation, obtenant un accès sans entrave aux zones sensibles de l'ordinateur, telles que l'écran, le stockage amovible et le clavier.

Sur les ordinateurs sur lesquels SIP est désactivé, le logiciel espion s'accordera simplement des autorisations pour accéder aux appareils sensibles en ajoutant de nouvelles règles à la base de données TCC. Cependant, sur les ordinateurs sur lesquels SIP est actif, CloudMensis exploitera les vulnérabilités connues pour inciter TCC à charger une base de données dans laquelle les logiciels espions peuvent écrire.

Protégez-vous

"Nous supposons généralement que lorsque nous achetons un produit Mac, il est complètement à l'abri des logiciels malveillants et des cybermenaces, mais ce n'est pas toujours le cas", a déclaré George Gerchow, directeur de la sécurité, Sumo Logic, à Lifewire dans un échange d'e-mails..

Gerchow a expliqué que la situation est encore plus inquiétante ces jours-ci avec de nombreuses personnes travaillant à domicile ou dans un environnement hybride utilisant des ordinateurs personnels. "Cela combine des données personnelles avec des données d'entreprise, créant ainsi un pool de données vulnérables et souhaitables pour les pirates", a noté Gerchow.

Image
Image

Alors que les chercheurs suggèrent d'utiliser un Mac à jour pour au moins empêcher les logiciels espions de contourner TCC, Gerchow pense que la proximité des appareils personnels et des données d'entreprise nécessite l'utilisation d'un logiciel de surveillance et de protection complet.

"La protection des terminaux, fréquemment utilisée par les entreprises, peut être installée individuellement par [les personnes] pour surveiller et protéger les points d'entrée sur les réseaux ou les systèmes basés sur le cloud, contre les logiciels malveillants sophistiqués et les menaces zero-day en constante évolution", a suggéré Gerchow.. "En enregistrant les données, les utilisateurs peuvent détecter de nouveaux trafics et exécutables potentiellement inconnus au sein de leur réseau."

Cela peut sembler exagéré, mais même les chercheurs ne sont pas opposés à l'utilisation de protections complètes pour protéger les gens contre les logiciels espions, se référant au mode de verrouillage qu'Apple est sur le point d'introduire sur iOS, iPadOS et macOS. Il est destiné à donner aux gens la possibilité de désactiver facilement les fonctionnalités que les attaquants exploitent fréquemment pour espionner les gens.

"Bien qu'il ne s'agisse pas du logiciel malveillant le plus avancé, CloudMensis peut être l'une des raisons pour lesquelles certains utilisateurs voudraient activer cette défense supplémentaire [le nouveau mode de verrouillage]", ont noté les chercheurs. "Désactiver les points d'entrée, au détriment d'une expérience utilisateur moins fluide, semble être un moyen raisonnable de réduire la surface d'attaque."

Conseillé: