Investigadores de ESET han descubierto CloudMensis, un nuevo malware que espía a usuarios de Mac. Se trata de un backdoor para MacOS que utiliza los servicios de almacenamiento en la nube pública para comunicarse con los operadores.
Según los expertos de ESET, las capacidades de CloudMensis demuestran que el objetivo de este backdoor es recopilar la máxima cantidad de información posible de los equipos de las víctimas. Esto lo consiguen a través de la exfiltración de documentos y las pulsaciones que los usuarios hacen en sus teclados, así como mensajes de correo electrónico y los archivos adjuntos, la lista de archivos del almacenamiento extraíble y capturas de pantalla.
Así, es capaz de ejecutar hasta 39 comandos para robar toda la información posible. Y es que, una vez que el malware ha conseguido infiltrarse en un Mac, ejecuta un código en el sistema objetivo con el que consigue privilegios de administrador.
Una vez conseguido, ejecuta una primera etapa del malware que después descarga una segunda fase más funcional desde un servicio de almacenamiento en la nube. Este almacenamiento se usa por CloudMensis tanto para recibir órdenes de sus operadores como para robar archivos.
Según las investigaciones, esta amenazas soporta tres proveedores: pCloud, Yandez Disk y Dropbox.
CloudMensis, un malware con muchas incógnitas
Aunque los investigadores detectaron este malware el pasado mes de abril, fue unos meses antes, el 4 de febrero de este año, cuando infectó el primer equipo Mac. Posteriormente, se ha comprobado su proliferación utilizando una puerta trasera para comprometer otros Mac.
Y es que este malware, pese a que parece que está creado por desarrolladores sin muchos conocimientos del entorno de Apple, ya que la calidad del código es muy baja, es sofisticado y consigue evadir los sistemas de seguridad de macOS. Por ejemplo, CloudMensis consigue sortear los ajustes de privacidad ya que para hacer capturas de pantalla o monitorizar el teclado debe solicitar permiso.
Cómo consigue esquivar estas medidas es solo una de las muchas incógnitas que aún faltan por conocer de este malware. Los investigadores también tratan de aclarar cuál es el vector de transmisión. Y es que, en la investigación de ESET no se ha encontrado ninguna vulnerabilidad de Día Cero.
Así lo explica uno de los investigadores de la compañía que ha analizado CloudMensis, Marc-Etienne Léveille, quien apunta que desconocen cómo se distribuye esta amenaza y quiénes son los objetivos. «La calidad general del código y la falta de ofuscación muestran que los autores pueden no estar muy familiarizados con el desarrollo de amenazas para Mac y no son tan avanzados», apunta el experto.
No obstante, también destaca que se trata de un malware muy sofisticado ya que cuenta con muchos recursos que han convertido a CloudMensis en una herramienta de espionaje muy potente.
Con esto queda claro que los usuarios de Mac tampoco están exentos de las actuales amenazas. Desde Apple, consciente de los problemas que puede conllevar, han reconocido la presencia de software espía contra los usuarios de sus productos.
En un primer movimiento, ha anunciado el adelanto del modo Lockdown en iOS, iPadOS y macOS, que desactiva funciones que se explotan de forma más frecuente para ejecutar código y desplegar malware.
No obstante, a la espera de conocer más detalles de CloudMensis que permitan conocer cómo se consigue infectar los equipos y propagarse, es aconsejable que los usuarios que tengan Mac actualicen sus dispositivos a la versión más reciente.
Y, como siempre, prestar atención a comportamientos extraños en el equipo y proteger la información para evitar pérdidas, son medidas siempre recomendables para mantener la ciberseguridad.