Aunque podría usarse para atacar blancos específicos, el malware espía dirigido a usuarios de Mac utiliza el almacenamiento de la nube y es capaz de exfiltrar documentos, capturas de pantalla, archivos adjuntos de correo electrónico y otros datos confidenciales, por lo que es una amenaza para los objetivos potenciales.
Si bien no es el malware más avanzado, CloudMensis, descubierto y nombrado así por investigadores de ESET, puede ser una de las razones por las que algunos usuarios querrían habilitar el modo “Lockdown”, una opción de protección extrema para iOS, iPadOS y macOS, anunciado recientemente por Apple, luego de reconocer la presencia de software espía.
Hasta el momento se desconoce cómo los actores maliciosos están distribuyendo inicialmente CloudMensis y quiénes son los objetivos, pero los expertos aseguran que la calidad general del código y la falta de ofuscación muestran que los autores pueden no estar muy familiarizados con el desarrollo de Mac y no son tan avanzados. No obstante, se invirtieron muchos recursos para hacer de CloudMensis una poderosa herramienta de espionaje.
Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica, explicó que cuando a través del malware se obtienen privilegios administrativos y de ejecución de código, se da un proceso de dos etapas: la primera descarga y ejecuta; la segunda con más funciones.
“Curiosamente, el malware de la primera etapa recupera el de la siguiente etapa de un proveedor de almacenamiento en la nube. No utiliza un enlace de acceso público; incluye un token de acceso para descargar el archivo MyExecute de la unidad. En la muestra que analizamos, se utilizó pCloud para almacenar y entregar la segunda etapa”.
La segunda etapa de CloudMensis es un componente mucho más grande, empaquetado con múltiples funciones para recopilar información de la Mac comprometida. La lista predeterminada de extensiones de archivo encontradas muestra el interés en documentos, hojas de cálculo, grabaciones de audio, imágenes y mensajes de correo electrónico de los equipos comprometidos.
«Por lo que hemos visto, los operadores implementan CloudMensis en objetivos puntuales que son de su interés. El uso de vulnerabilidades para evitar las mitigaciones de macOS muestra que los operadores de este malware intentan activamente maximizar el éxito de sus operaciones de espionaje».
Con base en metadatos de los servicios de almacenamientos en la nube utilizados por CloudMensis, que revelan detalles sobre la operación, se identificó un árbol de almacenamiento para enviar el informe inicial y transmitir comandos a los bots a partir del 22 de abril de 2022, aunque las investigaciones han sugerido que puede haber existido desde hace varios años.
C$T-GM