- Los investigadores han detectado un software espía de macOS nunca antes visto en la naturaleza.
- No es el malware más avanzado y depende de la mala higiene de seguridad de las personas para lograr sus objetivos.
- Aún así, los mecanismos de seguridad integrales, como el próximo modo de bloqueo de Apple, son la necesidad del momento, argumentan los expertos en seguridad.
krisanapong detraphiphat / Getty Images
Los investigadores de seguridad han detectado un nuevo spyware de macOS que explota las vulnerabilidades ya parcheadas para sortear las protecciones integradas en macOS. Su descubrimiento destaca la importancia de mantenerse al día con las actualizaciones del sistema operativo.
Apodado CloudMensis, el spyware previamente desconocido, detectado por investigadores de ESET, utiliza exclusivamente servicios de almacenamiento en la nube pública como pCloud, Dropbox y otros para comunicarse con los atacantes y para extraer archivos. Es preocupante que aproveche una gran cantidad de vulnerabilidades para eludir las protecciones integradas de macOS para robar sus archivos.
«Sus capacidades muestran claramente que la intención de sus operadores es recopilar información de las Mac de las víctimas extrayendo documentos, pulsaciones de teclas y capturas de pantalla», escribió el investigador de ESET Marc-Etienne M.Léveillé. «El uso de vulnerabilidades para evitar las mitigaciones de macOS muestra que los operadores de malware están tratando activamente de maximizar el éxito de sus operaciones de espionaje».
Software espía persistente
Los investigadores de ESET detectaron por primera vez el nuevo malware en abril de 2022 y se dieron cuenta de que podía atacar tanto a las computadoras más antiguas de Intel como a las más nuevas basadas en silicio de Apple.
Quizás el aspecto más llamativo del software espía es que, después de implementarse en la Mac de la víctima, CloudMensis no evita explotar las vulnerabilidades de Apple sin parches con la intención de eludir el sistema de control y consentimiento de transparencia (TCC) de macOS.
TCC está diseñado para solicitar al usuario que otorgue permiso a las aplicaciones para tomar capturas de pantalla o monitorear eventos del teclado. Bloquea el acceso de las aplicaciones a los datos confidenciales del usuario al permitir que los usuarios de macOS configuren los ajustes de privacidad para las aplicaciones instaladas en sus sistemas y dispositivos conectados a sus Mac, incluidos micrófonos y cámaras.
Las reglas se guardan en una base de datos protegida por System Integrity Protection (SIP), lo que garantiza que solo el demonio TCC pueda modificar la base de datos.
Según su análisis, los investigadores afirman que CloudMensis utiliza un par de técnicas para eludir TCC y evitar cualquier solicitud de permiso, obteniendo acceso sin obstáculos a las áreas sensibles de la computadora, como la pantalla, el almacenamiento extraíble y el teclado.
En computadoras con SIP deshabilitado, el spyware simplemente se otorgará permisos para acceder a los dispositivos confidenciales agregando nuevas reglas a la base de datos de TCC. Sin embargo, en las computadoras en las que SIP está activo, CloudMensis explotará las vulnerabilidades conocidas para engañar a TCC para que cargue una base de datos en la que el spyware pueda escribir.
Protégete a ti mismo
«Normalmente asumimos que cuando compramos un producto Mac está completamente a salvo de malware y amenazas cibernéticas, pero ese no es siempre el caso», dijo George Gerchow, director de seguridad de Sumo Logic, a Lifewire en un intercambio de correo electrónico.
Gerchow explicó que la situación es aún más preocupante en estos días con muchas personas trabajando desde casa o en un entorno híbrido usando computadoras personales. «Esto combina datos personales con datos empresariales, creando un grupo de datos vulnerables y deseables para los piratas informáticos», señaló Gerchow.
Rapeepong Puttakumwong / Getty Images
Si bien los investigadores sugieren ejecutar una Mac actualizada para al menos evitar que el spyware eluda TCC, Gerchow cree que la proximidad de los dispositivos personales y los datos empresariales exige el uso de un software integral de monitoreo y protección.
«La protección de puntos finales, utilizada con frecuencia por las empresas, puede instalarse individualmente por [people] para monitorear y proteger los puntos de entrada en redes, o sistemas basados en la nube, de malware sofisticado y amenazas de día cero en evolución”, sugirió Gerchow. “Al registrar datos, los usuarios pueden detectar nuevos ejecutables y tráfico potencialmente desconocido dentro de su red”.
Puede parecer exagerado, pero incluso los investigadores no son reacios a usar protecciones integrales para proteger a las personas contra el spyware, refiriéndose al modo de bloqueo que Apple está listo para introducir en iOS, iPadOS y macOS. Su objetivo es brindar a las personas una opción para desactivar fácilmente las funciones que los atacantes explotan con frecuencia para espiar a las personas.
«Aunque no es el malware más avanzado, CloudMensis puede ser una de las razones por las que algunos usuarios querrían habilitar esta defensa adicional [the new Lockdown mode]», señalaron los investigadores. «Deshabilitar los puntos de entrada, a expensas de una experiencia de usuario menos fluida, parece una forma razonable de reducir la superficie de ataque».
¡Gracias por dejarnos saber!
