ESET Latinoam\u00e9rica descubri\u00f3 un malware para macOS que utiliza el almacenamiento en la nube para exfiltrar documentos, pulsaciones del teclado y capturas de pantalla de Mac
Centroam\u00e9rica.- Investigadores de ESET, descubrieron un backdoor para macOS que esp\u00eda a los usuarios de los equipos Mac comprometidos y utiliza servicios p\u00fablicos de almacenamiento en la nube para comunicarse con sus operadores.<\/p>\n\n\n\n
Sus capacidades muestran que la intenci\u00f3n de sus operadores es recopilar informaci\u00f3n del equipo v\u00edctima extrayendo documentos, registrando pulsaciones del teclado y realizando capturas de pantalla.<\/p>\n\n\n\n
Apple ha reconocido recientemente la presencia de software esp\u00eda dirigido a los usuarios de sus productos y recientemente anunci\u00f3 el lanzamiento del modo Lockdown para iOS, iPadOS y macOS, una herramienta que desactiva aquellas funciones com\u00fanmente explotadas para obtener la ejecuci\u00f3n de c\u00f3digo y desplegar malware.<\/p>\n\n\n\n
Si bien no es el malware m\u00e1s avanzado, CloudMensis, como lo nombr\u00f3 ESET, puede ser una de las razones por las que algunos usuarios querr\u00edan habilitar este mecanismo de defensa adicional. Deshabilitar los principales puntos de entrada, a expensas de una experiencia de usuario menos fluida, parece una forma razonable de reducir la superficie de ataque.<\/p>\n\n\n\n
\u201cLas muestras que analizamos de CloudMensis est\u00e1n compiladas para las arquitecturas de Intel y Apple. Todav\u00eda no sabemos c\u00f3mo las v\u00edctimas logran ser comprometidas con este malware. Sin embargo, entendemos que cuando se obtienen privilegios administrativos y de ejecuci\u00f3n de c\u00f3digo, se da un proceso de dos etapas, la primera etapa descarga y ejecuta la segunda etapa con m\u00e1s funciones. Curiosamente, el malware de la primera etapa recupera el de la siguiente etapa de un proveedor de almacenamiento en la nube. No utiliza un enlace de acceso p\u00fablico; incluye un token de acceso para descargar el archivo MyExecute de la unidad. En la muestra que analizamos, se utiliz\u00f3 pCloud para almacenar y entregar la segunda etapa\u201d, comenta Camilo Guti\u00e9rrez Amaya, jefe del Laboratorio de Investigaci\u00f3n de ESET Latinoam\u00e9rica.<\/p>\n\n\n\n
Los artefactos que quedan en ambos componentes sugieren que sus autores los denominan execute y Client, siendo el primero el downloader y el segundo el agente esp\u00eda.<\/p>\n\n\n\n
El malware de primera etapa descarga e instala el malware de segunda etapa como un daemon del sistema. En esta etapa, los atacantes ya deben tener privilegios administrativos porque ambos directorios solo pueden ser modificados por el usuario root.<\/p>\n\n\n\n
El componente de la primera etapa incluye un m\u00e9todo llamado removeRegistration que estar\u00eda presente para hacer la limpieza despu\u00e9s de la explotaci\u00f3n de una vulnerabilidad en Safari.<\/p>\n\n\n\n
Inicialmente desde ESET se pens\u00f3 que el prop\u00f3sito de removeRegistration era desinstalar versiones anteriores de CloudMensis, pero investigaciones posteriores demostraron que estos archivos se utilizan para iniciar exploits de sandbox y de escalaci\u00f3n de privilegios desde Safari mientras abusa de cuatro vulnerabilidades.<\/p>\n\n\n\n
Estas vulnerabilidades fueron descubiertas y documentadas por Niklas Baumstark y Samuel Gro\u00df en 2017, y las cuatro fueron parcheadas por Apple el mismo a\u00f1o, por lo que esta t\u00e9cnica de distribuci\u00f3n probablemente ya no se utilice para instalar CloudMensis. Esto, seg\u00fan ESET, sugiere que CloudMensis puede haber existido durante muchos a\u00f1os.<\/p>\n\n\n\n
La segunda etapa de CloudMensis es un componente mucho m\u00e1s grande, empaquetado con m\u00faltiples funciones para recopilar informaci\u00f3n de la Mac comprometida. Desde ESET destacan que la intenci\u00f3n de los atacantes es exfiltrar documentos, capturas de pantalla, archivos adjuntos de correo electr\u00f3nico y otros datos confidenciales.<\/p>\n\n\n\n
CloudMensis utiliza el almacenamiento en la nube tanto para recibir comandos de sus operadores como para exfiltrar archivos. Admite tres proveedores diferentes: pCloud, Yandex Disk y Dropbox. La configuraci\u00f3n incluida en la muestra analizada contiene tokens de autenticaci\u00f3n para pCloud y Yandex Disk.<\/p>\n\n\n\n
Una de las primeras cosas que hace el agente esp\u00eda CloudMensis es cargar su configuraci\u00f3n. Adem\u00e1s, tambi\u00e9n intenta importar valores de lo que parecen ser versiones anteriores de la configuraci\u00f3n de CloudMensis. La configuraci\u00f3n contiene lo siguiente:<\/p>\n\n\n\n
\u2022 Qu\u00e9 proveedores de almacenamiento en la nube usar y los tokens de autenticaci\u00f3n
\u2022 Un identificador de bot generado aleatoriamente
\u2022 Informaci\u00f3n sobre la Mac
\u2022 Rutas a varios directorios utilizados por CloudMensis
\u2022 Extensiones de archivos que son de inter\u00e9s para los operadores<\/p>\n\n\n\n
Seg\u00fan mencionan desde ESET, la lista predeterminada de extensiones de archivo encontradas muestra que los operadores est\u00e1n interesados en documentos, hojas de c\u00e1lculo, grabaciones de audio, im\u00e1genes y mensajes de correo electr\u00f3nico de los equipos Mac v\u00edctimas.<\/p>\n\n\n\n
El formato menos com\u00fan es quiz\u00e1s el de las grabaciones de audio que usan el c\u00f3dec Adaptive Multi-Rate (usando las extensiones .amr y .3ga), que est\u00e1 dise\u00f1ado espec\u00edficamente para la compresi\u00f3n de voz. Otras extensiones de archivo interesantes en esta lista son los archivos .hwp y .hwpx , que son documentos para Hangul Office (ahora Hancom Office), un procesador de textos popular entre los hablantes de coreano.<\/p>\n\n\n\n
Algunas de las acciones que los comandos permiten realizar a los operadores son:<\/p>\n\n\n\n
\u2022 Cambiar los valores en la configuraci\u00f3n de CloudMensis: proveedores de almacenamiento en la nube y tokens de autenticaci\u00f3n, extensiones de archivo que se consideren interesantes, frecuencia de sondeo del almacenamiento en la nube, etc.
\u2022 Crear lista procesos en ejecuci\u00f3n
\u2022 Iniciar una captura de pantalla
\u2022 Crear lista de mensajes de correo electr\u00f3nico y archivos adjuntos
\u2022 Enumerar archivos de la unidad almacenamiento extra\u00edble
\u2022 Ejecutar comandos de shell y cargar la salida al almacenamiento en la nube
\u2022 Descargar y ejecutar archivos arbitrarios<\/p>\n\n\n\n
Los metadatos de los servicios de almacenamientos en la nube utilizados por CloudMensis revelan detalles sobre la operaci\u00f3n. Se identific\u00f3 un \u00e1rbol de almacenamiento para enviar el informe inicial y transmitir comandos a los bots a partir del 22 de abril de 2022.<\/p>\n\n\n\n
Estos metadatos dan un panorama parcial de la operaci\u00f3n y ayudan a trazar una l\u00ednea de tiempo. Primero, las cuentas de pCloud fueron creadas el 19 de enero de 2022. La lista de directorios del 22 de abril muestra que 51 identificadores de bot \u00fanicos crearon subdirectorios en el almacenamiento en la nube para recibir comandos. Debido a que estos directorios se crean cuando el malware se lanza por primera vez, es posible usar su fecha de creaci\u00f3n para determinar la fecha del compromiso inicial.<\/p>\n\n\n\n
\u201cCloudMensis es un malware dirigido a usuarios de Mac, pero su distribuci\u00f3n muy limitada sugiere que se usa como parte de una operaci\u00f3n dirigida a blancos espec\u00edficos. Por lo que hemos visto, los operadores detr\u00e1s de esta familia de malware implementan CloudMensis en objetivos puntuales que son de su inter\u00e9s. El uso de vulnerabilidades para evitar las mitigaciones de macOS muestra que los operadores de este malware intentan activamente maximizar el \u00e9xito de sus operaciones de espionaje. Al mismo tiempo, durante nuestra investigaci\u00f3n no se descubri\u00f3 el uso de vulnerabilidades zero-day por parte de este grupo. Por lo tanto, se recomienda tener actualizada la Mac. Todav\u00eda no sabemos c\u00f3mo los actores maliciosos est\u00e1n distribuyendo inicialmente CloudMensis y qui\u00e9nes son los objetivos. La calidad general del c\u00f3digo y la falta de ofuscaci\u00f3n muestran que los autores pueden no estar muy familiarizados con el desarrollo de Mac y no son tan avanzados. No obstante, se invirtieron muchos recursos para hacer de CloudMensis una poderosa herramienta de espionaje y una amenaza para los objetivos potenciales\u201d, concluye el investigador de ESET.<\/p>\n","protected":false},"excerpt":{"rendered":"
ESET Latinoam\u00e9rica descubri\u00f3 un malware para macOS que utiliza el almacenamiento en la nube para exfiltrar documentos, pulsaciones del teclado y capturas de pantalla de MacCentroam\u00e9rica.- Investigadores de ESET, descubrieron un backdoor para macOS que esp\u00eda a los usuarios de los equipos Mac comprometidos y utiliza servicios p\u00fablicos de almacenamiento en la nube para comunicarse […]<\/p>\n","protected":false},"author":2,"featured_media":51570,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[151],"tags":[845,2138,939,2139,2140,2141,2137,58],"class_list":["post-51569","post","type-post","status-publish","format-standard","has-post-thumbnail","category-tecnologia","tag-ahora-mas-rd","tag-almacenamiento","tag-cada-minuto-una-verdad","tag-cloud-mensis","tag-eset","tag-macos","tag-malware","tag-republica-dominicana"],"aioseo_notices":[],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/ahoramasrd.com.do\/index.php?rest_route=\/wp\/v2\/posts\/51569","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/ahoramasrd.com.do\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/ahoramasrd.com.do\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/ahoramasrd.com.do\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/ahoramasrd.com.do\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=51569"}],"version-history":[{"count":0,"href":"https:\/\/ahoramasrd.com.do\/index.php?rest_route=\/wp\/v2\/posts\/51569\/revisions"}],"wp:attachment":[{"href":"https:\/\/ahoramasrd.com.do\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=51569"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/ahoramasrd.com.do\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=51569"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/ahoramasrd.com.do\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=51569"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}