Por Francisco D’Agostino
Los investigadores de ESET descubrieron una puerta trasera de macOS previamente desconocida que espía a los usuarios de Mac comprometidas y utiliza exclusivamente servicios de almacenamiento en la nube pública para comunicarse con sus operadores. Nombrado CloudMensis por ESET, sus capacidades muestran claramente que la intención de los operadores es recopilar información de las Mac de las víctimas extrayendo documentos y pulsaciones de teclas, enumerando mensajes de correo electrónico y archivos adjuntos, enumerando archivos de almacenamiento extraíble y capturas de pantalla.
CloudMensis es una amenaza para los usuarios de Mac, pero su distribución muy limitada sugiere que se usa como parte de una operación dirigida. Por lo que ha visto ESET Research, los operadores de esta familia de malware implementan CloudMensis en objetivos específicos que les interesan. El uso de vulnerabilidades para evitar las mitigaciones de macOS muestra que los operadores de malware están tratando activamente de maximizar el éxito de sus operaciones de espionaje. Al mismo tiempo, no se encontraron vulnerabilidades no reveladas (cero días) utilizadas por este grupo durante nuestra investigación. Por lo tanto, se recomienda ejecutar una Mac actualizada para evitar, al menos, las omisiones de mitigación.
“Todavía no sabemos cómo se distribuye inicialmente CloudMensis y quiénes son los objetivos. La calidad general del código y la falta de ofuscación muestran que los autores pueden no estar muy familiarizados con el desarrollo de Mac y no son tan avanzados. No obstante, se invirtieron muchos recursos para hacer de CloudMensis una poderosa herramienta de espionaje y una amenaza para los objetivos potenciales”, explica el investigador de ESET Marc-Etienne Léveillé, quien analizó CloudMensis.
Una vez que CloudMensis obtiene la ejecución del código y los privilegios administrativos, ejecuta un malware de primera etapa que recupera una segunda etapa con más funciones de un servicio de almacenamiento en la nube.
Esta segunda etapa es un componente mucho más grande, repleto de una serie de funciones para recopilar información de la Mac comprometida. La intención de los atacantes aquí es claramente filtrar documentos, capturas de pantalla, archivos adjuntos de correo electrónico y otros datos confidenciales. En total, hay 39 comandos disponibles actualmente.
CloudMensis utiliza el almacenamiento en la nube tanto para recibir comandos de sus operadores como para filtrar archivos. Admite tres proveedores diferentes: pCloud, Yandex Disk y Dropbox. La configuración incluida en la muestra analizada contiene tokens de autenticación para pCloud y Yandex Disk.
Los metadatos de los servicios de almacenamiento en la nube utilizados revelan detalles interesantes sobre la operación, por ejemplo, que comenzó a transmitir comandos a los bots a partir del 4 de febrero de 2022.
Apple ha reconocido recientemente la presencia de software espía dirigido a los usuarios de sus productos y está presentando una vista previa del modo de bloqueo en iOS, iPadOS y macOS, que desactiva las funciones que se explotan con frecuencia para obtener la ejecución de código e implementar malware.
Para obtener más información técnica sobre CloudMensis, consulte la publicación de blog «Veo lo que hizo allí: un vistazo al software espía CloudMensis macOS» en WeLiveSecurity. Asegúrese de seguir a ESET Research en Twitter para conocer las últimas noticias de ESET Research.
Por Francisco D’Agostino