Lamentablemente, un malware recién descubierto para Mac, conocido como CloudMensis, está circulando. Los informes de hoy indican que los investigadores de ciberseguridad han descubierto una puerta trasera de macOS previamente desconocida que es capaz de espiar a los usuarios con Mac comprometidas.
Descubierto por la empresa de ciberseguridad ESET, el malware ha sido denominado CloudMensis debido a la forma en que utiliza los servicios de almacenamiento en la nube. La compañía descubrió que la primera Mac estaba comprometida el 4 de febrero de 2022.
El malware CloudMensis ataca a los Mac a través del almacenamiento en la nube
Usos de CloudMensis servicios de almacenamiento en la nube pública para comunicarse con sus operadores. Los informes de ESET muestran que la intención de los operadores es recopilar información de las víctimas de Mac mediante la extracción de documentos y pulsaciones de teclas, enumerando mensajes de correo electrónico y archivos adjuntos y enumerando archivos de almacenamiento extraíble y capturas de pantalla.
Marc-Etienne Léveillé, investigador de ESET, cree que es posible que los operadores no comprendan bien el desarrollo de Mac.
En un comunicado, Léveillé dijo,
Los informes también sugieren que este malware es una operación dirigida, ya que CloudMensis parece tener una distribución limitada hasta el momento. Según ESET, los operadores de esta familia de malware utilizan CloudMensis contra objetivos específicos que pueden ser de su interés.
Los operadores pueden utilizar vulnerabilidades dentro de macOS para solucionar las mitigaciones. Sin embargo, la investigación también sugiere que el grupo no utiliza actualmente vulnerabilidades de día cero. Esto significa que mantener su Mac actualizado puede, como mínimo, evitar la omisión de mitigación.
Cómo funciona CloudMensis
CloudMensis tiene como objetivo obtener el control de la ejecución del código y los privilegios administrativos. Para lograr esto, ejecuta un malware de primera etapa que recupera más funciones de una segunda etapa gracias a un servicio de almacenamiento en la nube.
Los servicios de almacenamiento en la nube incluyen pCloud, Yandex Disk y Dropbox. CloudMensis utiliza almacenamiento en la nube para recibir comandos de los operadores y extraer archivos.
Si el malware es capaz de llegar a la segunda etapa, es capaz de hacer mucho más. En total, 39 comandos esperan en esta etapa, todos con la intención de recopilar la mayor cantidad de información posible de las Mac comprometidas. La investigación indicó que aquí los atacantes intentan exfiltrar documentos, capturas de pantalla, archivos adjuntos de correo electrónico y otros datos confidenciales.
Apple entra en un bloqueo
Esto llega en un momento en que Apple introdujo recientemente el modo de bloqueo para iOS 16, iPadOS 16 y macOS Ventura. El modo de bloqueo es una protección extrema y opcional para quienes enfrentan amenazas específicas a la seguridad digital.
Una vez que el modo de bloqueo está activo, Apple bloquea los archivos adjuntos de mensajes en Mensajería, desactiva varias funciones mientras navega por la web y bloquea las invitaciones entrantes y las solicitudes de servicio. Por ejemplo, bloqueará las llamadas FaceTime si el usuario no ha enviado previamente una llamada o solicitud al otro usuario.
Además, bloquear el teléfono bloqueará las conexiones por cable y no se podrán instalar perfiles de configuración. El teléfono tampoco puede registrarse en la administración de dispositivos móviles.
Apple afirmó que agregará más funciones más adelante. Cupertino también está iniciando un programa Apple Security Bounty para ayudar a fortalecer las funciones de seguridad.
Con la reciente noticia de que Pegasus atacó a varios manifestantes en Tailandia, es bueno ver que Apple está tomando medidas bastante extremas para proteger a los usuarios. En cuanto a CloudMensis, aún está por verse si se trata de ataques aleatorios u objetivos específicos.
Como siempre, asegúrese de que sus dispositivos estén ejecutando el software más actualizado para proteger mejor su dispositivo.
