Clicky

Expertos descubren nuevo software espía CloudMensis dirigido a usuarios de Apple macOS

Apple macOS

CloudMensis puede haber pasado desapercibido durante muchos años

Investigadores de seguridad cibernética han descubierto un spyware previamente no documentado dirigido al sistema operativo Apple macOS.

Se dice que el malware, cuyo nombre en código es CloudMensis por la empresa de ciberseguridad eslovaca ESET, utiliza exclusivamente servicios de almacenamiento en la nube pública como pCloud, Yandex Disk y Dropbox para recibir comandos de los atacantes y extraer archivos.

"Sus capacidades muestran claramente que la intención de sus operadores es recopilar información de las Mac de las víctimas extrayendo documentos, pulsaciones de teclas y capturas de pantalla", dijo en un informe publicado hoy el investigador de ESET Marc-Etienne M.Léveillé.

CloudMensis, escrito en Objective-C, se descubrió por primera vez en abril de 2022 y está diseñado para atacar las arquitecturas de silicio de Intel y Apple. Aún se desconocen el vector de infección inicial de los ataques y los objetivos. Pero su distribución muy limitada es una indicación de que el malware se está utilizando como parte de una operación altamente dirigida contra entidades de interés.

La cadena de ataque detectada por ESET abusa de la ejecución de código y los privilegios administrativos para lanzar una carga útil de primera etapa que se utiliza para obtener y ejecutar un malware de segunda etapa alojado en pCloud que, a su vez, extrae documentos, capturas de pantalla y archivos adjuntos de correo electrónico, entre otros.

CloudMensis

También se sabe que el descargador de primera etapa borra los rastros de Safari sandbox escape y exploits de escalada de privilegios que hacen uso de cuatro fallas de seguridad ahora resueltas en 2017, lo que sugiere que CloudMensis puede haber pasado desapercibido durante muchos años.

El implante también viene con funciones para eludir el marco de seguridad de Transparencia, Consentimiento y Control (TCC), cuyo objetivo es garantizar que todas las aplicaciones obtengan el consentimiento del usuario antes de acceder a archivos en Documentos, Descargas, Escritorio, iCloud Drive y volúmenes de red.

Lo logra explotando otra vulnerabilidad de seguridad parcheada rastreada como CVE-2020-9934 que salió a la luz en 2020. Otras funciones admitidas por la puerta trasera incluyen obtener la lista de procesos en ejecución, tomar capturas de pantalla, enumerar archivos de dispositivos de almacenamiento extraíbles y ejecutar comandos de shell y otras cargas útiles arbitrarias.

Además de eso, un análisis de los metadatos de la infraestructura de almacenamiento en la nube muestra que las cuentas de pCloud se crearon el 19 de enero de 2022, y los compromisos comenzaron el 4 de febrero y alcanzaron su punto máximo en marzo.

"La calidad general del código y la falta de ofuscación muestran que los autores pueden no estar muy familiarizados con el desarrollo de Mac y no son tan avanzados", dijo M. Léveillé. "Sin embargo, se invirtieron muchos recursos para hacer de CloudMensis una poderosa herramienta de espionaje y una amenaza para los potenciales objetivos".

Jesus_Caceres