La alerta la dieron investigadores de ESET, empresa europea líder en soluciones de ciberseguridad que descubrió malware Apple Mac OS previamente desconocido. ¿Lo peor de todo? Este software malicioso (malware) espía a los usuarios de computadoras Mac comprometido y utiliza exclusivamente servicios de almacenamiento en la nube pública para comunicarse con sus operadores sin ser (tan) notado.
La nueva amenaza para las computadoras Apple fue denominado CloudMensis por la mencionada entidad. Además, sus capacidades muestran que la intención de los operadores es recopilar información sobre los Mac de las víctimas. En la práctica, roban documentos, claves, correos electrónicos, archivos adjuntos, archivos en almacenamiento externo y capturas de pantalla.
CloudMensis es la nueva amenaza para los ordenadores macOS en Apple
oh nubemensis es una amenaza para los usuarios de Mac Apple, pero su distribución limitada sugiere que se utiliza como parte de una operación selectiva. Según la investigación de ESET, los operadores de este malware lo implementan en objetivos específicos que les interesan.
La explotación de vulnerabilidades para eludir las mitigaciones de seguridad de macOS muestra que los operadores de CloudMensis están intentando activamente maximizar el éxito de su campaña de espionaje. Sin embargo, la empresa no detectó ninguna vulnerabilidad de día cero utilizada por el grupo.
Por ello, la entidad de ciberseguridad recomienda a los usuarios de Mac actualizar sus sistemas. Esto es para al menos evitar mitigaciones de seguridad.
Actualizar el sistema Es la mejor manera de proteger tu Mac
“Todavía no sabemos cómo se distribuye inicialmente CloudMensis y quiénes son los objetivos. La calidad general del código y la falta de ofuscación muestran que es posible que los autores no estén muy familiarizados con el desarrollo de macOS y no sean muy avanzados. Sin embargo, se han invertido muchos recursos para hacer de CloudMensis una poderosa herramienta de espionaje y una amenaza para objetivos potenciales”. Explica el investigador de ESET Marc-Etienne Léveillé.
Desde el momento en que CloudMensis obtiene privilegios de administración y ejecución de código, se ejecuta un malware de primera etapa que recupera la segunda etapa de un servicio de almacenamiento en la nube. Esta segunda fase consta de un componente mucho mayor. Está repleto de funciones para recopilar información de Mac comprometida.
La intención de los atacantes es claramente robar documentos. Desde archivos adjuntos de correo electrónico, capturas de pantalla y otros datos confidenciales. En total, hay 39 comandos disponibles.
El malware recopila la mayor cantidad de información posible en computadoras macOS
CloudMensis utiliza el almacenamiento en la nube tanto para recibir comandos de sus operadores como para robar archivos. Por tanto, cuenta con tres proveedores diferentes: pCloud, Yandex Disk y Dropbox.
La configuración incluida en la muestra analizada contiene códigos y autenticación para pCloud y Yandex Disk. Los metadatos de estos servicios revelaron detalles interesantes sobre el funcionamiento. Aquí incluido que los comandos comenzaron a transmitirse a los bots. 4 Febrero de 2022.
Finalmente, el Apple reconoció recientemente la presencia de software espía dirigido a los usuarios de sus productos. En este sentido, anunció Lockdown Mode en iOS, iPadOS y macOS, que desactiva funciones frecuentemente explotadas para acceder a la ejecución de código e implementación de malware.