Se identificó un malware que espía a usuarios de macOS

Staff/RG

ESET Latinoamérica, compañía líder en detección proactiva de amenazas, descubrió un malware para macOS que utiliza el almacenamiento en la nube para exfiltrar documentos, pulsaciones del teclado y capturas de pantalla de Mac.

Ciudad de México – Investigadores de ESET, compañía líder en detección proactiva de amenazas, descubrieron un backdoor para macOS que espía a los usuarios de los equipos Mac comprometidos y utiliza servicios públicos de almacenamiento en la nube para comunicarse con sus operadores. Sus capacidades muestran que la intención de sus operadores es recopilar información del equipo víctima extrayendo documentos, registrando pulsaciones del teclado y realizando capturas de pantalla.

Apple ha reconocido recientemente la presencia de software espía dirigido a los usuarios de sus productos y recientemente anunció el lanzamiento del modo Lockdown para iOS, iPadOS y macOS, una herramienta que desactiva aquellas funciones comúnmente explotadas para obtener la ejecución de código y desplegar malware. Si bien no es el malware más avanzado, CloudMensis, como lo nombró ESET, puede ser una de las razones por las que algunos usuarios querrían habilitar este mecanismo de defensa adicional. Deshabilitar los principales puntos de entrada, a expensas de una experiencia de usuario menos fluida, parece una forma razonable de reducir la superficie de ataque.

“Las muestras que analizamos de CloudMensis están compiladas para las arquitecturas de Intel y Apple. Todavía no sabemos cómo las víctimas logran ser comprometidas con este malware. Sin embargo, entendemos que cuando se obtienen privilegios administrativos y de ejecución de código, se da un proceso de dos etapas, la primera etapa descarga y ejecuta la segunda etapa con más funciones. Curiosamente, el malware de la primera etapa recupera el de la siguiente etapa de un proveedor de almacenamiento en la nube. No utiliza un enlace de acceso público; incluye un token de acceso para descargar el archivo MyExecute de la unidad. En la muestra que analizamos, se utilizó pCloud para almacenar y entregar la segunda etapa.”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Categorías