Un software espía de macOS previamente desconocido ha aparecido en una campaña muy específica, que extrae documentos, pulsaciones de teclas, capturas de pantalla y más de las máquinas Apple. Curiosamente, utiliza exclusivamente servicios públicos de almacenamiento en la nube para albergar cargas útiles y para comunicaciones de comando y control (C2), una elección de diseño inusual que dificulta rastrear y analizar la amenaza.
Apodado CloudMensis por los investigadores de ESET que lo descubrieron, la puerta trasera se desarrolló en Objective-C. El análisis de ESET del malware lanzado esta semana muestra que después del compromiso inicial, los atacantes cibernéticos detrás de la campaña obtienen la ejecución del código y la escalada de privilegios utilizando vulnerabilidades conocidas. Luego, instalan un componente cargador de primera etapa que recupera la carga real del software espía de un proveedor de almacenamiento en la nube. En la muestra que analizó la firma, se usó pCloud para almacenar y entregar la segunda etapa, pero el malware también es compatible con Dropbox y Yandex como repositorios en la nube.
Luego, el componente de espionaje comienza a recopilar una gran cantidad de datos confidenciales de la Mac comprometida, incluidos archivos, archivos adjuntos de correo electrónico, mensajes, grabaciones de audio y pulsaciones de teclas. En total, los investigadores dijeron que admite 39 comandos diferentes, incluida una directiva para descargar malware adicional.
Todos los datos obtenidos de forma ilícita se cifran mediante una clave pública que se encuentra en el agente de espionaje; y requiere una clave privada, propiedad de los operadores de CloudMensis, para su descifrado, según ESET.
Software espía en la nube
El aspecto más notable de la campaña, además del hecho de que el spyware para Mac es un hallazgo raro, es su uso exclusivo del almacenamiento en la nube, según el análisis.
“Los perpetradores de CloudMensis crean cuentas en proveedores de almacenamiento en la nube como Dropbox o pCloud”, explica a Dark Reading Marc-Etienne M.Léveillé, investigador sénior de malware en ESET. “El software espía CloudMensis contiene tokens de autenticación que les permiten cargar y descargar archivos de estas cuentas. Cuando los operadores quieren enviar un comando a uno de sus bots, suben un archivo al almacenamiento en la nube. El agente espía de CloudMensis buscará ese archivo, lo descifrará y ejecutará el comando. El resultado del comando se cifra y se carga en el almacenamiento en la nube para que los operadores lo descarguen y descifren”.
Esta técnica significa que no hay nombre de dominio ni dirección IP en las muestras de malware, agrega: "La ausencia de dicho indicador dificulta el seguimiento de la infraestructura y el bloqueo de CloudMensis a nivel de red".
Si bien es un enfoque notable, ya se ha utilizado en el mundo de las computadoras por parte de grupos como Comienzo (también conocido como Cloud Atlas) y APT37 (también conocido como Reaper o Grupo 123). Sin embargo, “creo que es la primera vez que lo vemos en un malware para Mac”, señala M. Léveillé.
La atribución y la victimología siguen siendo un misterio
Hasta ahora, las cosas están, bueno, confusas en lo que respecta a la procedencia de la amenaza. Una cosa que está clara es que la intención de los perpetradores es el espionaje y el robo de propiedad intelectual, lo que podría ser una pista sobre el tipo de amenaza, ya que el espionaje es tradicionalmente el dominio de las amenazas persistentes avanzadas (APT).
Sin embargo, los artefactos que ESET pudo descubrir de los ataques no mostraron vínculos con operaciones conocidas.
“No pudimos atribuir esta campaña a un grupo conocido, ni por la similitud del código ni por la infraestructura”, dice M. Léveillé.
Otra pista: la campaña también está muy bien dirigida, por lo general el sello distintivo de los actores más sofisticados.
“Los metadatos de las cuentas de almacenamiento en la nube utilizadas por CloudMensis revelaron que las muestras que analizamos se ejecutaron en 51 Mac entre el 4 de febrero y el 22 de abril”, dice M. Léveillé. Desafortunadamente, “no tenemos información sobre la geolocalización o la vertical de las víctimas porque los archivos se eliminan del almacenamiento en la nube”.
Sin embargo, contrarrestando los aspectos APT-ish de la campaña, el nivel de sofisticación del malware en sí no es tan impresionante, señaló ESET.
“La calidad general del código y la falta de ofuscación muestran que los autores pueden no estar muy familiarizados con el desarrollo de Mac y no son tan avanzados”, según el informe.
M.Léveillé caracteriza a CloudMensis como una amenaza de nivel medio-avanzado y señaló que, a diferencia de El formidable software espía Pegasus de NSO Group, CloudMensis no incorpora exploits de día cero en su código.
“No vimos que CloudMensis usara vulnerabilidades no reveladas para eludir las barreras de seguridad de Apple”, dice M. Léveillé. “Sin embargo, descubrimos que CloudMensis usaba vulnerabilidades conocidas (también conocidas como un día o n-día) en Mac que no ejecutan la última versión de macOS [para eludir las mitigaciones de seguridad]. No sabemos cómo se instala el software espía CloudMensis en las Mac de las víctimas, por lo que quizás usen vulnerabilidades no reveladas para ese propósito, pero solo podemos especular. Esto coloca a CloudMensis en algún lugar en el medio de la escala de sofisticación, más que el promedio, pero tampoco el más sofisticado”.
Cómo proteger su negocio de CloudMensis y spyware
Para evitar convertirse en víctima de la amenaza CloudMensis, el uso de vulnerabilidades para evitar las mitigaciones de macOS significa que ejecutar Mac actualizados es la primera línea de defensa para las empresas, según ESET. Aunque el vector de compromiso inicial no se conoce en este caso, la implementación del resto de los conceptos básicos, como contraseñas seguras y capacitación para detectar phishing, también es una buena defensa.
Los investigadores también recomendaron encender El nuevo modo de bloqueo de Apple .
“Apple ha reconocido recientemente la presencia de spyware dirigido a los usuarios de sus productos y está presentando una vista previa del modo de bloqueo en iOS, iPadOS y macOS, que desactiva las funciones que se explotan con frecuencia para obtener la ejecución del código e implementar malware”, según el análisis. “Deshabilitar los puntos de entrada, a expensas de una experiencia de usuario menos fluida, parece una forma razonable de reducir la superficie de ataque”.
Sobre todo, M. Léveillé advierte a las empresas que no se dejen engañar por una falsa sensación de seguridad cuando se trata de Mac. Si bien el malware dirigido a Mac ha sido tradicionalmente menos frecuente que las amenazas de Windows o Linux, eso ahora esta cambiando.
“Las empresas que usan Mac en su flota deben protegerlas de la misma manera que protegerían las computadoras que ejecutan Windows o cualquier otro sistema operativo”, advierte. “Con el aumento de las ventas de Mac año tras año, sus usuarios se han convertido en un objetivo interesante para los delincuentes motivados financieramente. Los grupos de amenazas patrocinados por el estado también tienen los recursos para adaptarse a sus objetivos y desarrollar el malware que necesitan para cumplir sus misiones, independientemente del sistema operativo”.
- blockchain
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- Lectura oscura
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- seguridad del sitio web
