Princípios importantes
- Pesquisadores identificaram um spyware do macOS nunca visto antes.
- Não é o malware mais avançado e depende da f alta de higiene de segurança das pessoas para atingir seus objetivos.
-
Ainda assim, mecanismos de segurança abrangentes, como o próximo modo Lockdown da Apple, são a necessidade do momento, argumentam os especialistas em segurança.
Pesquisadores de segurança identificaram um novo spyware do macOS que explora vulnerabilidades já corrigidas para contornar as proteções incorporadas ao macOS. Sua descoberta destaca a importância de acompanhar as atualizações do sistema operacional.
Apelidado de CloudMensis, o spyware anteriormente desconhecido, descoberto por pesquisadores da ESET, usa exclusivamente serviços de armazenamento em nuvem pública, como pCloud, Dropbox e outros, para se comunicar com os invasores e para exfiltrar arquivos. Preocupantemente, ele explora uma infinidade de vulnerabilidades para contornar as proteções internas do macOS para roubar seus arquivos.
"Suas capacidades mostram claramente que a intenção de seus operadores é coletar informações dos Macs das vítimas exfiltrando documentos, pressionamentos de tecla e capturas de tela", escreveu o pesquisador da ESET Marc-Etienne M. Léveillé. "O uso de vulnerabilidades para contornar as mitigações do macOS mostra que os operadores de malware estão tentando ativamente maximizar o sucesso de suas operações de espionagem."
Spyware Persistente
Pesquisadores da ESET identificaram o novo malware pela primeira vez em abril de 2022 e perceberam que ele poderia atacar tanto os computadores mais antigos da Intel quanto os mais novos baseados em silício da Apple.
Talvez o aspecto mais marcante do spyware seja que, após ser implantado no Mac da vítima, o CloudMensis não se coíbe de explorar vulnerabilidades não corrigidas da Apple com a intenção de contornar o sistema macOS Transparency Consent and Control (TCC).
TCC foi projetado para solicitar que o usuário conceda permissão aos aplicativos para fazer capturas de tela ou monitorar eventos de teclado. Ele impede que aplicativos acessem dados confidenciais do usuário, permitindo que os usuários do macOS definam configurações de privacidade para aplicativos instalados em seus sistemas e dispositivos conectados a seus Macs, incluindo microfones e câmeras.
As regras são salvas em um banco de dados protegido pela Proteção de Integridade do Sistema (SIP), que garante que apenas o daemon TCC possa modificar o banco de dados.
Com base em sua análise, os pesquisadores afirmam que o CloudMensis usa algumas técnicas para contornar o TCC e evitar solicitações de permissão, obtendo acesso irrestrito às áreas sensíveis do computador, como a tela, armazenamento removível e o teclado.
Em computadores com SIP desativado, o spyware simplesmente concederá a si mesmo permissões para acessar os dispositivos confidenciais adicionando novas regras ao banco de dados TCC. No entanto, em computadores nos quais o SIP está ativo, o CloudMensis explorará vulnerabilidades conhecidas para enganar o TCC para carregar um banco de dados no qual o spyware pode gravar.
Proteja-se
"Normalmente, presumimos que quando compramos um produto Mac, ele está completamente protegido contra malware e ameaças cibernéticas, mas nem sempre é esse o caso", disse George Gerchow, diretor de segurança da Sumo Logic, à Lifewire em uma troca de e-mail.
Gerchow explicou que a situação é ainda mais preocupante nos dias de hoje com muitas pessoas trabalhando em casa ou em um ambiente híbrido usando computadores pessoais. "Isso combina dados pessoais com dados corporativos, criando um conjunto de dados vulneráveis e desejáveis para hackers", observou Gerchow.
Enquanto os pesquisadores sugerem a execução de um Mac atualizado para pelo menos evitar que o spyware contorne o TCC, Gerchow acredita que a proximidade de dispositivos pessoais e dados corporativos exige o uso de software abrangente de monitoramento e proteção.
"A proteção de endpoint, frequentemente usada por empresas, pode ser instalada individualmente por [pessoas] para monitorar e proteger pontos de entrada em redes ou sistemas baseados em nuvem contra malware sofisticado e ameaças de dia zero em evolução ", sugeriu Gerchow. "Ao registrar dados, os usuários podem detectar tráfego novo e potencialmente desconhecido e executáveis em sua rede."
Pode parecer exagero, mas mesmo os pesquisadores não são avessos ao uso de proteções abrangentes para proteger as pessoas contra spyware, referindo-se ao modo de bloqueio que a Apple deve introduzir no iOS, iPadOS e macOS. O objetivo é dar às pessoas a opção de desativar facilmente recursos que os invasores frequentemente exploram para espionar as pessoas.
"Embora não seja o malware mais avançado, o CloudMensis pode ser uma das razões pelas quais alguns usuários desejam ativar essa defesa adicional [o novo modo de bloqueio] ", observaram os pesquisadores. "Desativar os pontos de entrada, às custas de uma experiência de usuário menos fluida, parece uma maneira razoável de reduzir a superfície de ataque."
