Conclusiones clave
- Los investigadores han descubierto un software espía de macOS nunca antes visto en la naturaleza.
- No es el malware más avanzado y se basa en la mala higiene de seguridad de las personas para lograr sus objetivos.
-
Aún así, los mecanismos de seguridad integrales, como el próximo modo de bloqueo de Apple, son la necesidad del momento, argumentan los expertos en seguridad.
Los investigadores de seguridad han detectado un nuevo spyware de macOS que aprovecha las vulnerabilidades ya parcheadas para sortear las protecciones integradas en macOS. Su descubrimiento destaca la importancia de mantenerse al día con las actualizaciones del sistema operativo.
Apodado CloudMensis, el spyware previamente desconocido, detectado por investigadores de ESET, utiliza exclusivamente servicios de almacenamiento en la nube pública como pCloud, Dropbox y otros para comunicarse con los atacantes y para extraer archivos. Es preocupante que aproveche una plétora de vulnerabilidades para eludir las protecciones integradas de macOS para robar sus archivos.
"Sus capacidades muestran claramente que la intención de sus operadores es recopilar información de las Mac de las víctimas extrayendo documentos, pulsaciones de teclas y capturas de pantalla", escribió el investigador de ESET Marc-Etienne M. Léveillé. "El uso de vulnerabilidades para evitar las mitigaciones de macOS muestra que los operadores de malware están tratando activamente de maximizar el éxito de sus operaciones de espionaje".
Spyware persistente
Los investigadores de ESET detectaron por primera vez el nuevo malware en abril de 2022 y se dieron cuenta de que podía atacar tanto a las antiguas computadoras Intel como a las más nuevas basadas en silicio de Apple.
Quizás el aspecto más sorprendente del spyware es que, después de implementarse en la Mac de la víctima, CloudMensis no rehuye explotar las vulnerabilidades de Apple sin parches con la intención de eludir el sistema de control y consentimiento de transparencia (TCC) de macOS.
TCC está diseñado para solicitar al usuario que otorgue permiso a las aplicaciones para tomar capturas de pantalla o monitorear eventos del teclado. Bloquea el acceso de las aplicaciones a los datos confidenciales del usuario al permitir que los usuarios de macOS configuren la privacidad de las aplicaciones instaladas en sus sistemas y dispositivos conectados a sus Mac, incluidos micrófonos y cámaras.
Las reglas se guardan en una base de datos protegida por System Integrity Protection (SIP), lo que garantiza que solo el demonio TCC pueda modificar la base de datos.
Según su análisis, los investigadores afirman que CloudMensis utiliza un par de técnicas para eludir TCC y evitar cualquier solicitud de permiso, obteniendo acceso sin obstáculos a las áreas sensibles de la computadora, como la pantalla, el almacenamiento extraíble y el teclado.
En computadoras con SIP deshabilitado, el spyware simplemente se otorgará permisos para acceder a los dispositivos confidenciales agregando nuevas reglas a la base de datos de TCC. Sin embargo, en las computadoras en las que SIP está activo, CloudMensis explotará las vulnerabilidades conocidas para engañar a TCC para que cargue una base de datos en la que el spyware pueda escribir.
Protégete
"Normalmente asumimos que cuando compramos un producto Mac está completamente a salvo de malware y ciberamenazas, pero no siempre es así", dijo George Gerchow, director de seguridad de Sumo Logic, a Lifewire en un intercambio de correo electrónico..
Gerchow explicó que la situación es aún más preocupante en estos días con muchas personas trabajando desde casa o en un entorno híbrido usando computadoras personales. "Esto combina datos personales con datos empresariales, creando un conjunto de datos vulnerables y deseables para los piratas informáticos", señaló Gerchow.
Si bien los investigadores sugieren ejecutar una Mac actualizada para al menos evitar que el spyware eluda TCC, Gerchow cree que la proximidad de los dispositivos personales y los datos de la empresa exige el uso de un software integral de supervisión y protección.
"La protección de endpoints, utilizada con frecuencia por las empresas, puede ser instalada individualmente por [las personas] para monitorear y proteger los puntos de entrada en las redes o sistemas basados en la nube contra malware sofisticado y amenazas de día cero en evolución", sugirió Gerchow.. "Al registrar datos, los usuarios pueden detectar nuevos ejecutables y tráfico potencialmente desconocido dentro de su red".
Puede sonar excesivo, pero incluso los investigadores no son reacios a usar protecciones integrales para proteger a las personas contra el software espía, refiriéndose al modo de bloqueo que Apple está listo para introducir en iOS, iPadOS y macOS. Su objetivo es brindar a las personas la opción de deshabilitar fácilmente las funciones que los atacantes explotan con frecuencia para espiar a las personas.
"Aunque no es el malware más avanzado, CloudMensis puede ser una de las razones por las que algunos usuarios querrían habilitar esta defensa adicional [el nuevo modo de bloqueo]", señalaron los investigadores. "Deshabilitar los puntos de entrada, a expensas de una experiencia de usuario menos fluida, parece una forma razonable de reducir la superficie de ataque."