Los investigadores han advertido que se sabe poco sobre el malware ‘CloudMensis’, incluido cómo se distribuye y quién está detrás. Descubren un misterioso programa espía para macOS que utiliza el almacenamiento en la nube pública como servidor de control.
Se ha advertido a los usuarios de MacOS que se ha descubierto un nuevo spyware utilizando una puerta trasera no documentada. Se usa para robar datos confidenciales de los Mac comprometidos.
Al extraer datos confidenciales, como pulsaciones de teclas, capturas de pantalla y archivos adjuntos de correo electrónico, el software espía utiliza almacenamiento en la nube pública como Yandex Disk, pCloud y Dropbox. Estos son sus canales de comando y control. Aunque tal uso del almacenamiento en la nube se ha observado en el malware de Windows, los investigadores notaron que esta es una táctica inusual en el ecosistema de Mac.
Descubren un misterioso programa espía para macOS que utiliza el almacenamiento en la nube pública como servidor de control
El malware, codificado como Objective-C, fue descubierto por investigadores de ESET que lo llamaron ‘CloudMensis’ en una publicación del blog. Aún se desconoce el método por el cual el malware primero compromete las Mac de sus víctimas.
La falta de claridad en torno a este mecanismo de entrega, así como la identidad y los objetivos de los actores de amenazas, ha llevado a los investigadores a advertir a todos los usuarios de MacOS que sean cautelosos y mantengan los sistemas actualizados. Sin embargo, como actualmente se ha visto que afecta solo a un número limitado de sistemas, CloudMensis no se ha etiquetado actualmente como de alto riesgo.
Una vez presente en el Mac de la víctima, la primera etapa de CloudMensis descarga una segunda etapa del almacenamiento en la nube pública y ambas se escriben en el disco. Una vez instalado, CloudMensis recibe comandos de sus operadores a través de este almacenamiento en la nube y envía copias cifradas de archivos a través de él.
Un acceso casi total
Se pueden activar un total de 39 comandos que permiten que el malware, entre otras cosas, cambie tus valores de configuración. También que ejecute comandos de shell y enumere archivos del almacenamiento extraíble.
Para eludir el sistema de protección de la privacidad de macOS, Transparencia, Consentimiento y Control (TCC), CloudMensis agrega entradas para otorgarse permisos. Si la víctima ejecuta una versión de macOS anterior a Catalina 10.15.6, CloudMensis aprovechará una vulnerabilidad conocida (CVE-2020-9943) para cargar una base de datos TCC en la que pueda escribir.
Los metadatos descubiertos por ESET indicaron que los actores de amenazas detrás del spyware están implementando CloudMensis individualmente en objetivos de interés, en lugar de propagarlo tanto como pueden.
No se han encontrado pistas sobre los objetivos previstos en los metadatos, y el uso del almacenamiento en la nube como su C2 hace que los actores de amenazas detrás de él sean difíciles de identificar. ESET accedió a los metadatos de los servicios de almacenamiento en la nube en uso que indican que los actores de amenazas desconocidos comenzaron a enviar comandos el 4 de febrero de 2022.
El malware de MacOS suele ser más raro que el malware de Windows. Esto es por una multitud de razones. Está aquí incluido el hecho de que la mayor participación de mercado de los PC con Windows ofrece a los ciberdelincuentes un mejor objetivo.