CloudMensis: un malware para espiar dirigido a usuarios de macOS

En abril de 2022, investigadores de ESET descubrieron un backdoor para macOS previamente desconocido que espía a los usuarios de los equipos Mac comprometidos y que utiliza servicios públicos de almacenamiento en la nube para comunicarse con sus operadores. Tras el análisis, lo llamamos CloudMensis. Sus capacidades muestran claramente que la intención de sus operadores es recopilar información del equipo víctima extrayendo documentos, registrando pulsaciones del teclado y realizando capturas de pantalla.


Computadora MAC con malware

Apple ha reconocido recientemente la presencia de software espía dirigido a los usuarios de sus productos y recientemente anunció el lanzamiento del modo Lockdown para iOS, iPadOS y macOS, una herramienta que desactiva aquellas funciones comúnmente explotadas para obtener la ejecución de código y desplegar malware. Y si bien no es el malware más avanzado, CloudMensis puede ser una de las razones por las que algunos usuarios querrían habilitar este mecanismo de defensa adicional. Deshabilitar los principales puntos de entrada, a expensas de una experiencia de usuario menos fluida, parece una forma razonable de reducir la superficie de ataque.


CloudMensis: descripción general


CloudMensis es un malware para macOS desarrollado en Objective-C. Las muestras que se analizaron están compiladas para las arquitecturas de Intel y Apple. Todavía no se sabe cómo las víctimas logran ser comprometidas con este malware. Sin embargo, se entiende que cuando se obtienen privilegios administrativos y de ejecución de código, lo que sigue es un proceso de dos etapas, donde la primera etapa descarga y ejecuta la segunda etapa con más funciones. Curiosamente, el malware de la primera etapa recupera el de la siguiente etapa de un proveedor de almacenamiento en la nube.


No utiliza un enlace de acceso público; incluye un token de acceso para descargar el archivo MyExecute de la unidad. En la muestra que se analizo, se utilizó pCloud para almacenar y entregar la segunda etapa. Los artefactos que quedan en ambos componentes sugieren que sus autores los denominan execute y Client, siendo el primero el downloader y el segundo el agente espía. Esos nombres se encuentran tanto en las rutas absolutas de los objetos como en las firmas ad hoc.


El componente espía


La segunda etapa de CloudMensis es un componente mucho más grande, empaquetado con múltiples funciones para recopilar información de la Mac comprometida. La intención de los atacantes aquí es claramente exfiltrar documentos, capturas de pantalla, archivos adjuntos de correo electrónico y otros datos confidenciales. CloudMensis utiliza el almacenamiento en la nube tanto para recibir comandos de sus operadores como para exfiltrar archivos. Admite tres proveedores diferentes: pCloud, Yandex Disk y Dropbox. La configuración incluida en la muestra analizada contiene tokens de autenticación para pCloud y Yandex Disk.


Cifrado personalizado


CloudMensis implementa su propia función de cifrado que sus autores llaman FlowEncrypt. Toma un solo byte como semilla y genera el resto de la clave realizando una serie de operaciones en el byte generado más recientemente. La entrada es XOReada con esta cadena de claves. En última instancia, el valor del byte actual será el mismo que uno de sus valores anteriores, por lo que la cadena de claves se repetirá. Esto significa que, aunque el cifrado parezca complejo, se puede simplificar a un XOR con una clave estática (excepto por los primeros bytes de la cadena de claves, antes de que comience a repetirse).


Conclusión


CloudMensis es un malware dirigido a usuarios de Mac, pero su distribución muy limitada sugiere que se usa como parte de una operación dirigida a blancos específicos. Por lo que hemos visto, los operadores detrás de esta familia de malware implementan CloudMensis en objetivos puntuales que son de su interés. El uso de vulnerabilidades para evitar las mitigaciones de macOS muestra que los operadores de este malware intentan activamente maximizar el éxito de sus operaciones de espionaje. Al mismo tiempo, durante nuestra investigación no se descubrió el uso de vulnerabilidades zero-day por parte de este grupo. Por lo tanto, se recomienda tener actualizada la Mac.


Todavía no sabemos cómo los actores maliciosos están distribuyendo inicialmente CloudMensis y quiénes son los objetivos. La calidad general del código y la falta de ofuscación muestran que los autores pueden no estar muy familiarizados con el desarrollo de Mac y no son tan avanzados. No obstante, se invirtieron muchos recursos para hacer de CloudMensis una poderosa herramienta de espionaje y una amenaza para los objetivos potenciales.




Referencias y Créditos:

M.Léveillé, M.-E. (2022, 20 de julio). CloudMensis: un malware para espiar dirigido a usuarios de macOS | WeLiveSecurity. WeLiveSecurity. https://www.welivesecurity.com/la-es/2022/07/20/cloudmensis-malware-espiar-dirigido-usuarios-macos/

3 visualizaciones0 comentarios

Entradas Recientes

Ver todo