Un grupo de investigadores de Eset descubrió una ‘backdoor’ o puerta trasera para macOS, que ha sido bautizada como CloudMensis, y que es capaz de recopilar información en los ordenadores de las víctimas mediante la exfiltración de documentos, mensajes de correo electrónico y archivos adjuntos.

Este ‘malware’ utiliza los servicios de almacenamiento en la nube para comunicarse con los operadores, recibir órdenes y robar archivos, como explicó el equipo Eset Research en un comunicado.

Según los metadatos de los servicios de almacenamiento en la nube utilizados, el primer Mac comprometido por esta reciente campaña se registró el pasado 4 de febrero, cuando CloudMensis comenzó a transmitir comandos a los ‘bots’.

Además, en base al uso de vulnerabilidades para eludir las medidas de seguridad integradas en macOS, los operadores de ‘malware’ estarían tratando de maximizar el éxito de sus operaciones de espionaje.

Eset ha indicado que una vez que CloudMensis consigue ejecutar código en el sistema objetivo y obtiene privilegios de administrador, ejecuta la primera etapa del ‘software’ malicioso, que se encarga de descargar una segunda fase más funcional desde un servicio de almacenamiento en la nube.

En la segunda fase, presenta una serie de funciones para recopilar información, como pueden ser archivos adjuntos en correos electrónicos y otros datos sensibles.

En realidad, esta ‘backdoor’, hasta ahora desconocida, es capaz de lanzar 39 comandos desde los Macs comprometidos, como pueden ser pulsaciones de teclas, así como recopilar capturas de pantalla o listados de archivos del almacenamiento extraíble.

Para poder trabajar, soporta tres proveedores diferentes, como son pCloud, Yandex Disk y Dropbox. De hecho, la configuración incluida en la muestra analizada por los investigadores contiene tókens de autenticación para pCloud y Yandex Disk.

Eset indicó que durante la investigación realizada no se ha encontrado ninguna vulnerabilidad no revelada, esto es, de día cero, utilizada por este grupo. Debido a eso, ha recomendado ejecutar una actualización en los dispositivos Mac para evitar, al menos, que el ‘malware’ pueda sortear las medidas de seguridad incorporadas en el propio sistema operativo.

La compañía también señaló que no saben cómo se distribuye inicialmente esta amenaza, ni quiénes son sus objetivos, pero que “la calidad general del código y la falta de ofuscación muestran que los autores pueden no estar muy familiarizados con el desarrollo de amenazas para Mac y no son tan avanzados”, ha apuntado el investigador de Eset Marc-Etienne Léveillé.

Por su parte, Apple ha reconocido la presencia de ‘software’ espía dirigido a los usuarios de sus productos y está adelantando el modo Lockdown (anunciado hace unos días) en iOS, iPadOS y macOS. Esta solución desactiva funciones frecuentemente explotadas para obtener la ejecución de código y desplegar ‘malware’ en los ordenadores comprometidos.

Apple trabaja para generar mayor seguridad para proteger a usuarios de ciberataques

Apple anunció nuevas iniciativas destinadas a usuarios que sufran ataques personales por parte de ciberamenazas sofisticadas, entre las que se encuentra Lockdown Mode, un modo de protección o de aislamiento.

Se trata de la primera funcionalidad de su categoría, que se presentará para agosto y estará integrada en iOS 16, iPadOS 16 y macOS Ventura, según adelanta Apple en un comunicado.

El modo de aislamiento se define como una característica de uso opcional para proteger al usuario que pueda ser víctima de ciberataques considerados sofisticados, esto es, los desarrollados por organizaciones privadas con respaldo estatal. Es el caso de NSO Group, empresa de origen israelí que ha desarrollado el ‘software’ espía Pegasus.

Un ‘software’ espía o ‘spyware’ es un ‘malware’ que recopila información de un dispositivo y la transmite a una entidad externa sin el conocimiento o consentimiento del usuario.

Apple explicó que, al activar este modo, se refuerzan aún más las defensas del dispositivo y se limitan algunas de sus funcionalidades para reducir la superficie que puede ser víctima potencial de un ‘software’ espía.

Desde el día de su lanzamiento, el modo ‘Aislamiento’ incluirá varias protecciones. Por un lado, en la ‘app’ Mensajes se bloquearán la mayoría de tipos de archivos adjuntos que no sean imágenes y se deshabilitarán varias prestaciones, como la previsualización de enlaces web.

Por otro, a la hora de navegar por internet, este nuevo modo no permitirá el funcionamiento de ciertas tecnologías web complejas, como la compilación ‘just-in-time’ (JIT) de JavaScript, salvo que el usuario excluya manualmente un sitio concreto que sí considere de confianza para ejecutar esta técnica.