CloudMensis, un backdoor que permite espiar a los usuarios de Macs

  • Endpoint

Desconocido hasta ahora, el backdoor para macOS puede lanzar 39 comandos desde los Macs comprometidos, incluyendo la exfiltración de documentos, pulsaciones de teclas y capturas de pantalla, utilizando los servicios de almacenamiento en la nube para comunicarse con los operadores.

Recomendados: 

Claves de seguridad para las nuevas aplicaciones web y API. Ebook

Protegiendo los datos corporativos en aplicaciones basadas en cloud. Leer

Los investigadores de ESET han descubierto un backdoor para macOS que espía a los usuarios de los Macs comprometidos y utiliza exclusivamente los servicios de almacenamiento en la nube pública para comunicarse constantemente con sus operadores. Bautizado como CloudMensis, sus capacidades muestran claramente que la intención de los operadores es recopilar información de los Mac de las víctimas.

Una vez que CloudMensis consigue ejecutar código en el sistema objetivo y obtiene privilegios de administrador, ejecuta una primera etapa del malware que se encarga de descargar una segunda fase más funcional desde un servicio de almacenamiento en la nube. Esta segunda etapa es un componente mucho más grande, repleta de una serie de funciones para recopilar información del Mac comprometido. La clara intención de los atacantes es exfiltrar documentos, capturas de pantalla, archivos adjuntos en correos electrónicos y otros datos sensibles. En total, hay 39 comandos disponibles actualmente.

CloudMensis utiliza el almacenamiento en la nube tanto para recibir órdenes de sus operadores como para robar archivos. La amenaza soporta tres proveedores diferentes: pCloud, Yandex Disk y Dropbox. La configuración incluida en la muestra analizada contiene tokens de autenticación para pCloud y Yandex Disk.

CloudMensis es una amenaza para los usuarios de Mac, pero su distribución limitada sugiere que se utiliza como parte de una operación dirigida. Por lo que ha visto el equipo de ESET Research, los operadores de esta familia de malware despliegan CloudMensis en objetivos específicos de su interés. El uso de vulnerabilidades para eludir las medidas de seguridad integradas en macOS muestra que los operadores de malware están tratando de maximizar el éxito de sus operaciones de espionaje. Al mismo tiempo, durante la investigación realizada por ESET no se ha encontrado ninguna vulnerabilidad no revelada (de día cero) utilizada por este grupo. Por lo tanto, se recomienda ejecutar una actualización en los dispositivos Mac para evitar, al menos, que se eviten las medidas de seguridad incorporadas en el propio sistema operativo.

“Todavía no sabemos cómo se distribuye inicialmente CloudMensis y quiénes son los objetivos. La calidad general del código y la falta de ofuscación muestran que los autores pueden no estar muy familiarizados con el desarrollo de amenazas para Mac y no son tan avanzados. Sin embargo, se invirtieron muchos recursos para hacer de CloudMensis una poderosa herramienta de espionaje y una amenaza para los objetivos potenciales”, declara Marc-Etienne Léveillé, investigador de ESET que ha analizado CloudMensis.

Apple ha reconocido la presencia de software espía dirigido a los usuarios de sus productos y está adelantando el modo Lockdown en iOS, iPadOS y macOS, que desactiva funciones frecuentemente explotadas para obtener la ejecución de código y desplegar malware.