CloudMensis: el spyware para Mac es popular entre los ciberdelincuentes. Después de DazzleSpy (enero de 2022) y Gimmick (marzo de 2022), los investigadores de ESET han descubierto el tercer malware espía de alto riesgo. El software espía previamente desconocido, denominado CloudMensis por ESET, ha estado espiando ampliamente las computadoras Apple infectadas desde febrero de 2022.
Se registran documentos y pulsaciones de teclas, se guardan mensajes de correo electrónico y archivos adjuntos, se copian archivos de medios extraíbles y se realizan grabaciones de pantalla. Los servicios de almacenamiento en la nube como Dropbox, pCloud y Yandex Disk son de particular importancia: sirven como medio de comunicación entre la víctima y el atacante y como almacenamiento para más malware y la información capturada.
Los servicios de almacenamiento en la nube como eje
Una vez que CloudMensis se ejecuta y obtiene privilegios administrativos, descarga más malware rico en funciones de un servicio de almacenamiento en línea. Este código malicioso está equipado con un conjunto de herramientas de espionaje para recopilar información de la Mac comprometida. La intención de los atacantes es claramente robar documentos, capturas de pantalla, archivos adjuntos de correo electrónico y otros datos confidenciales.
CloudMensis utiliza el almacenamiento en la nube tanto para recibir comandos de sus operadores como para filtrar archivos. El software espía utiliza tres proveedores diferentes: pCloud, Yandex Disk y Dropbox.
La distribución limitada de CloudMensis sugiere que el software espía se implementa como parte de una operación dirigida. Según los investigadores de ESET, los operadores de esta familia de malware solo utilizan CloudMensis para fines muy específicos y lucrativos. La explotación de vulnerabilidades para eludir las defensas de macOS muestra que los operadores de malware intentan activamente maximizar el éxito de sus operaciones de espionaje. Aunque las investigaciones no encontraron vulnerabilidades no reveladas previamente (cero días), se demostró el uso de brechas de seguridad "antiguas" conocidas. Una de ellas es la vulnerabilidad CVE-2020-9934, que puede eludir la Protección de integridad del sistema (SIP) de Apple. Por lo tanto, los investigadores de ESET recomiendan usar una Mac con el último sistema operativo para evitar eludir las medidas de seguridad.
Apple es consciente del problema del spyware
A fines de noviembre de 2021, Apple admitió indirectamente que los usuarios podrían tener un problema con el software espía. La demanda contra la empresa de tecnología israelí NSO Group sugiere esta conclusión. Con esto, Apple quiere evitar la vigilancia y los ataques dirigidos a sus propios usuarios a través de su software espía "Pegasus". Además, los desarrolladores de Apple presentaron recientemente una nueva función de seguridad llamada Modo de bloqueo en una vista previa de los próximos sistemas operativos iOS16, iPadOS16 y macOS Ventura. Esto limita aquellas funciones que se usan regularmente para ejecutar código malicioso y propagar malware.
“Todavía no está del todo claro cómo se distribuyó originalmente CloudMensis y a qué apuntan los atacantes. La calidad general del código y la falta de ofuscación sugieren que los autores no están muy familiarizados ni muy avanzados con el desarrollo de Mac. Aún así, se ha puesto mucho esfuerzo en hacer de CloudMensis una poderosa herramienta de espionaje. Definitivamente representa una amenaza para los objetivos potenciales”, explica el investigador de ESET Marc-Etienne Léveillé, quien analizó CloudMensis.
Más en ESET.com
Acerca de ESET ESET es una empresa europea con sede en Bratislava (Eslovaquia). Desde 1987, ESET ha estado desarrollando un software de seguridad galardonado que ya ha ayudado a más de 100 millones de usuarios a disfrutar de tecnologías seguras. La amplia cartera de productos de seguridad cubre todas las plataformas principales y ofrece a empresas y consumidores de todo el mundo el equilibrio perfecto entre rendimiento y protección proactiva. La empresa tiene una red de ventas global en más de 180 países y oficinas en Jena, San Diego, Singapur y Buenos Aires. Para obtener más información, visite www.eset.de o síganos en LinkedIn, Facebook y Twitter.