Bài học rút ra chính
- Các nhà nghiên cứu đã phát hiện ra một phần mềm gián điệp macOS chưa từng thấy trước đây trong tự nhiên.
- Nó không phải là phần mềm độc hại tiên tiến nhất và dựa vào vệ sinh bảo mật kém của mọi người để đạt được mục tiêu của nó.
-
Tuy nhiên, các cơ chế bảo mật toàn diện, chẳng hạn như chế độ Lockdown sắp ra mắt của Apple, là nhu cầu hàng ngày, các chuyên gia bảo mật tranh luận.
Các nhà nghiên cứu bảo mật đã phát hiện ra một phần mềm gián điệp macOS mới khai thác các lỗ hổng đã được vá để xử lý các biện pháp bảo vệ được tích hợp trong macOS. Khám phá của nó nêu bật tầm quan trọng của việc cập nhật hệ điều hành.
Được mệnh danh là CloudMensis, phần mềm gián điệp chưa từng được biết đến trước đây, được các nhà nghiên cứu tại ESET phát hiện, sử dụng độc quyền các dịch vụ lưu trữ đám mây công cộng như pCloud, Dropbox và các dịch vụ khác để giao tiếp với những kẻ tấn công và để lấy cắp tệp. Đáng lo ngại, nó khai thác rất nhiều lỗ hổng để vượt qua các biện pháp bảo vệ tích hợp sẵn của macOS nhằm đánh cắp tệp của bạn.
"Khả năng của nó cho thấy rõ ràng mục đích của những người điều hành nó là thu thập thông tin từ máy Mac của nạn nhân bằng cách trích xuất tài liệu, tổ hợp phím và chụp màn hình", nhà nghiên cứu Marc-Etienne M. Léveillé của ESET viết. "Việc sử dụng các lỗ hổng để khắc phục các biện pháp giảm nhẹ macOS cho thấy rằng các nhà khai thác phần mềm độc hại đang tích cực cố gắng tối đa hóa sự thành công của các hoạt động gián điệp của họ."
Phần mềm gián điệp dai dẳng
Các nhà nghiên cứu của ESET lần đầu tiên phát hiện ra phần mềm độc hại mới vào tháng 4 năm 2022 và nhận ra rằng nó có thể tấn công cả Intel cũ hơn và các máy tính sử dụng silicon Apple mới hơn.
Có lẽ khía cạnh nổi bật nhất của phần mềm gián điệp là sau khi được triển khai trên máy Mac của nạn nhân, CloudMensis không né tránh việc khai thác các lỗ hổng chưa được vá của Apple với ý định vượt qua hệ thống Kiểm soát và Đồng ý (TCC) của macOS.
TCC được thiết kế để nhắc người dùng cấp quyền cho ứng dụng để chụp ảnh màn hình hoặc theo dõi các sự kiện bàn phím. Nó chặn các ứng dụng truy cập vào dữ liệu nhạy cảm của người dùng bằng cách cho phép người dùng macOS định cấu hình cài đặt quyền riêng tư cho các ứng dụng được cài đặt trên hệ thống và thiết bị được kết nối với máy Mac của họ, bao gồm cả micrô và máy ảnh.
Các quy tắc được lưu trong cơ sở dữ liệu được bảo vệ bởi Hệ thống Bảo vệ Toàn vẹn (SIP), đảm bảo rằng chỉ daemon TCC mới có thể sửa đổi cơ sở dữ liệu.
Dựa trên phân tích của họ, các nhà nghiên cứu nói rằng CloudMensis sử dụng một số kỹ thuật để vượt qua TCC và tránh bất kỳ lời nhắc cấp phép nào, giành quyền truy cập không bị cản trở vào các khu vực nhạy cảm của máy tính, chẳng hạn như màn hình, bộ nhớ di động và bàn phím.
Trên máy tính bị vô hiệu hóa SIP, phần mềm gián điệp sẽ chỉ tự cấp cho mình quyền truy cập vào các thiết bị nhạy cảm bằng cách thêm các quy tắc mới vào cơ sở dữ liệu TCC. Tuy nhiên, trên các máy tính có SIP đang hoạt động, CloudMensis sẽ khai thác các lỗ hổng đã biết để lừa TCC tải cơ sở dữ liệu mà phần mềm gián điệp có thể ghi vào.
Bảo vệ bản thân
"Chúng tôi thường cho rằng khi chúng tôi mua một sản phẩm Mac, nó hoàn toàn an toàn trước phần mềm độc hại và các mối đe dọa mạng, nhưng điều đó không phải lúc nào cũng đúng", George Gerchow, Giám đốc An ninh của Sumo Logic, nói với Lifewire trong một cuộc trao đổi qua email.
Gerchow giải thích rằng những ngày này tình hình thậm chí còn đáng lo ngại hơn với nhiều người làm việc tại nhà hoặc trong môi trường kết hợp sử dụng máy tính cá nhân. "Điều này kết hợp dữ liệu cá nhân với dữ liệu doanh nghiệp, tạo ra một nhóm dữ liệu dễ bị tấn công và mong muốn cho tin tặc", Gerchow lưu ý.
Trong khi các nhà nghiên cứu đề xuất chạy một máy Mac cập nhật để ít nhất ngăn phần mềm gián điệp vượt qua TCC, Gerchow tin rằng sự gần gũi của các thiết bị cá nhân và dữ liệu doanh nghiệp kêu gọi việc sử dụng phần mềm giám sát và bảo vệ toàn diện.
"Bảo vệ điểm cuối, được các doanh nghiệp sử dụng thường xuyên, có thể được cài đặt riêng bởi [mọi người] để giám sát và bảo vệ các điểm vào trên mạng hoặc hệ thống dựa trên đám mây, khỏi phần mềm độc hại tinh vi và các mối đe dọa ngày càng tăng", Gerchow đề xuất. "Bằng cách ghi dữ liệu, người dùng có thể phát hiện lưu lượng truy cập mới, có khả năng không xác định và các tệp thực thi trong mạng của họ."
Nghe có vẻ quá mức cần thiết, nhưng ngay cả các nhà nghiên cứu cũng không ghét việc sử dụng các biện pháp bảo vệ toàn diện để bảo vệ mọi người chống lại phần mềm gián điệp, đề cập đến Chế độ khóa mà Apple thiết lập để giới thiệu trên iOS, iPadOS và macOS. Nó có nghĩa là cung cấp cho mọi người một tùy chọn để dễ dàng vô hiệu hóa các tính năng mà những kẻ tấn công thường xuyên khai thác để theo dõi mọi người.
"Mặc dù không phải là phần mềm độc hại tiên tiến nhất, nhưng CloudMensis có thể là một trong những lý do khiến một số người dùng muốn kích hoạt tính năng bảo vệ bổ sung này [chế độ Lockdown mới]," các nhà nghiên cứu lưu ý. "Vô hiệu hóa các điểm vào, với chi phí là trải nghiệm người dùng kém linh hoạt hơn, nghe có vẻ là một cách hợp lý để giảm bề mặt tấn công."
