Lo nuevo de Intel471 informe revela que macOS es cada vez más blanco de ataques por parte de actores de amenazas, que desarrollan malware específico para el sistema operativo o utilizan lenguajes multiplataforma para lograr sus objetivos en computadoras macOS.
También se están explotando más vulnerabilidades de macOS. Software malicioso y los exploits podrían utilizarse tanto para el ciberdelito como para el ciberespionaje.
Más malware que nunca en macOS
Entre enero de 2023 y julio de 2024, los investigadores observaron más de 40 actores de amenazas que atacaban sistemas macOS con diferentes tipos de malware, siendo los más populares los ladrones de información y los troyanos.
Ladrones de información
Los programas maliciosos que roban información (también conocidos como infostealers) se desarrollan e implementan cada vez más en todos los sistemas operativos, y macOS no es una excepción.
De acuerdo a Según la empresa de seguridad en la nube Uptycs, los incidentes que involucran a ladrones de información se duplicaron en el primer trimestre de 2023 en comparación con el mismo período de 2022. La empresa de ciberseguridad Group-IB también informes un aumento de cinco veces en las ventas clandestinas relacionadas con los ladrones de información de macOS.
Los cibercriminales utilizan este tipo de software para robar credenciales de inicio de sesión, cookies de sesión que permiten la autenticación sin credenciales y más datos, como información de tarjetas de crédito o billeteras de criptomonedas. El software también es ampliamente utilizado por corredores de acceso inicialque recopilan credenciales válidas, generalmente de empresas y no de individuos, y las venden a otros ciberdelincuentes.
Atomic Stealer, también llamado Atomic macOS Stealer o AMOS, es uno de los robadores de información de macOS más populares desde 2023. Está diseñado para robar credenciales y datos de billeteras de criptomonedas de dispositivos y navegadores macOS.
Sin embargo, varios cibercriminales operan o publicitan otros ladrones de información que tienen como objetivo macOS. Un actor de amenazas apodado codehex publicitó un ladrón de información para macOS llamado ShadowVault, capaz de robar datos de varios navegadores basados en Chrome, archivos almacenados en computadoras comprometidas y datos de billeteras de criptomonedas.
Los operadores del malware también podían firmarlo con una firma de desarrollador de Apple, lo que dificultaba su detección por parte del software de seguridad. El malware se vendía a un precio mensual de 500 dólares bajo un modelo de negocio de Malware como servicio (MaaS).
Otro ladrón de información más caro, Quark Lab, con capacidades para robar contraseñas de llaveros de sistemas, así como billeteras de criptomonedas e información de navegadores populares, se vendió por $3,000 por mes.
Troyanos
Los troyanos de acceso remoto son otra categoría popular de malware que se implementa cada vez más en macOS.
Puerta oxidadaun malware para macOS desarrollado en RUST y posiblemente vinculado a un actor de amenazas de ransomware, proporciona varias funcionalidades a su controlador:
- Ejecuta comandos remotos.
- Manipula archivos en sistemas comprometidos.
- Añade más cargas útiles.
- Recopila información del sistema.
Esto lo convierte en una herramienta única tanto para los actores de ciberespionaje como para los ciberdelitos. El lenguaje de programación Rust se ha vuelto más popular entre los desarrolladores de malware, ya que es un lenguaje multiplataforma que permite a un desarrollador portar fácilmente el código a cualquier sistema operativo.
Ransomware
Como escribió Intel471, “la aparición del ransomware macOS genera preocupación, ya que demuestra que los actores de amenazas buscan nuevas vías para comprometer a los usuarios de Apple”.
En abril de 2023, los investigadores de seguridad Descubierto Un nuevo cifrador para el infame Bloqueo de bits ransomware, que tenía como objetivo dispositivos macOS, incluidos los sistemas macOS más nuevos que se ejecutan en Apple Silicon.
A fines de 2023, apareció otro ransomware menos avanzado, denominado Turtle, y desarrollado nuevamente en un lenguaje de programación multiplataforma, Golang, también conocido como Go. El malware solo estaba firmado ad hoc y no certificado, lo que lo hacía detectable por Gatekeeper, como explicado por el experto investigador en seguridad Patrick Wardle.
Vulnerabilidades explotadas
El número de vulnerabilidades de macOS explotadas en 2023 aumentó en más del 30%, de acuerdo a Para parchear el software de gestión de la empresa Action1.
Además, Intel471 encontró 69 vulnerabilidades que afectaron a varias versiones de macOS desde marzo de 2020 hasta julio de 2024, y más de 10 vulnerabilidades se clasificaron en un nivel de alto riesgo. Algunas de estas vulnerabilidades han sido explotadas por actores de amenazas de ciberespionaje.
CVE-2023-41993, una vulnerabilidad no especificada que afecta a varias versiones de macOS, fue explotado para instalar el software espía Predator de Cytrox, que se vendió a múltiples organizaciones patrocinadas por estados en todo el mundo.
Los actores amenazantes también explotado CVE-2023-41064, una vulnerabilidad de desbordamiento de búfer. El actor de ciberespionaje vendió su software espía a organizaciones patrocinadas por el estado.
Un ciberdelincuente apodado oDmC3oJrrSuZLhp ofreció vender un exploit en un foro clandestino por 2,7 millones de dólares para la vulnerabilidad CVE-2022-32893, que permite a un atacante ejecutar código arbitrario en sistemas específicos.
Actores de amenazas patrocinados por el Estado
Si bien diferentes proveedores de software espía han vendido sus servicios a actores de amenazas patrocinados por estados, algunos de estos actores de amenazas desarrollan malware y herramientas dirigidas a macOS.
Actor amenazante de Corea del Norte Azul Noroffpor ejemplo, ha desarrollado un cargador malicioso conocido como Cubo de óxidodesarrollado para macOS y dirigido a instituciones financieras cuyas actividades están relacionadas con las criptomonedas.
El grupo también apunta a personas que poseen activos de criptomonedas, con el objetivo final de robar todo el dinero criptográfico de las billeteras específicas.
Actores de amenazas rusos APT28parte de la Dirección Principal del Estado Mayor de las Fuerzas Armadas de Rusia, y APT29parte del Servicio de Inteligencia Exterior de Rusia, también han utilizado malware para macOS.
La puerta trasera modular XAgent utilizada por APT28 existe desde hace muchos años e incluye una Versión para macOSlo que le permite robar datos de sistemas macOS comprometidos, incluidas copias de seguridad de iOS que contienen mensajes, contactos, correo de voz, historial de llamadas, notas y calendarios. APT29 utilizó el código que ya no es compatible. Imperio Marco de administración remota multiplataforma y post-explotación que permite la orientación a macOS.
El actor de amenazas con sede en Vietnam APT32 también implementó un sistema operativo macOS Puerta trasera Se utiliza para apuntar a diferentes organizaciones.
Cómo protegerse de esta amenaza
Los sistemas macOS deben estar siempre actualizados y parcheados para evitar verse afectados por vulnerabilidades comunes.
Se debe implementar un software de seguridad en los sistemas para detectar malware y actividades sospechosas. También se deben utilizar soluciones de seguridad de correo electrónico, ya que gran parte de la vulnerabilidad inicial se propaga a través de correos electrónicos de phishing.
Por último, todos los empleados deben recibir formación para detectar posibles técnicas de ingeniería social utilizadas en correos electrónicos o herramientas de mensajería instantánea.
Divulgación: Trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.
