 |
|
|
Los investigadores de ESET descubrieron un backdoor para macOS que espía a los usuarios de los equipos Mac comprometidos y utiliza servicios públicos de almacenamiento en la nube para comunicarse con sus operadores. Sus capacidades muestran que la intención de sus operadores es recopilar información del equipo víctima extrayendo documentos, registrando pulsaciones del teclado y realizando capturas de pantalla.
Apple ha reconocido recientemente la presencia de software espía dirigido a los usuarios de sus productos y recientemente anunció el lanzamiento del modo Lockdown para iOS, iPadOS y macOS, una herramienta que desactiva aquellas funciones comúnmente explotadas para obtener la ejecución de código y desplegar malware. Si bien no es el malware más avanzado, CloudMensis, como lo nombró ESET, puede ser una de las razones por las que algunos usuarios querrían habilitar este mecanismo de defensa adicional.
Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica, comentó sobre esta nueva ciberamenaza: “Las muestras que analizamos de CloudMensis están compiladas para las arquitecturas de Intel y Apple. Todavía no sabemos cómo las víctimas logran ser comprometidas con este malware. Sin embargo, entendemos que cuando se obtienen privilegios administrativos y de ejecución de código, se da un proceso de dos etapas, la primera etapa descarga y ejecuta la segunda etapa con más funciones. Curiosamente, el malware de la primera etapa recupera el de la siguiente etapa de un proveedor de almacenamiento en la nube. No utiliza un enlace de acceso público; incluye un token de acceso para descargar el archivo MyExecute de la unidad. En la muestra que analizamos, se utilizó pCloud para almacenar y entregar la segunda etapa”.
Según mencionan desde ESET, la lista predeterminada de extensiones de archivo encontradas muestra que los operadores están interesados en documentos, hojas de cálculo, grabaciones de audio, imágenes y mensajes de correo electrónico de los equipos Mac víctimas. El formato menos común es quizás el de las grabaciones de audio que usan el códec Adaptive Multi-Rate (usando las extensiones .amr y .3ga), que está diseñado específicamente para la compresión de voz.
Algunas de las acciones que los comandos permiten realizar a los operadores son:
- Cambiar los valores en la configuración de CloudMensis: Proveedores de almacenamiento en la nube y tokens de autenticación, extensiones de archivo que se consideren interesantes, frecuencia de sondeo del almacenamiento en la nube, etc.
- Iniciar una captura de pantalla; crear una lista de mensajes de correo electrónico y archivos adjuntos; enumerar archivos de la unidad almacenamiento extraíble; descargar y ejecutar archivos arbitrarios.
El Investigador de ESET Latinoamérica, concluyó que “CloudMensis es un malware dirigido a usuarios de Mac, pero su distribución muy limitada sugiere que se usa como parte de una operación dirigida a blancos específicos. Por lo que hemos visto, los operadores detrás de esta familia de malware implementan CloudMensis en objetivos puntuales que son de su interés. Todavía no sabemos cómo los actores maliciosos están distribuyendo inicialmente CloudMensis y quiénes son los objetivos. No obstante, se invirtieron muchos recursos para hacer de de este malware una poderosa herramienta de espionaje y una amenaza para los objetivos potenciales”.
|
