El nuevo informe de Intel471 revela que macOS es cada vez más el objetivo de los actores de amenazas, que desarrollan malware específico para el sistema operativo o utilizan lenguajes multiplataforma para lograr sus objetivos en las computadoras macOS. También se están explotando más vulnerabilidades de macOS en la naturaleza. El malware y los exploits podrían usarse tanto para el ciberdelito como para el ciberespionaje. Más malware que nunca en macOS Entre enero de 2023 y julio de 2024, los investigadores observaron más de 40 actores de amenazas que apuntaban a los sistemas macOS con diferentes tipos de malware, siendo los más populares los infostealers y los troyanos. Infostealers Los malwares ladrones de información, también conocidos como infostealers, se desarrollan e implementan cada vez más en todos los sistemas operativos, y macOS no es una excepción. Según la empresa de seguridad en la nube Uptycs, los incidentes que involucran a infostealers se duplicaron en el primer trimestre de 2023 en comparación con el mismo período de 2022. La empresa de ciberseguridad Group-IB también informa de un aumento de cinco veces en las ventas clandestinas relacionadas con los infostealers de macOS. Los cibercriminales utilizan este tipo de software para robar credenciales de inicio de sesión, cookies de sesión que permiten la autenticación sin credenciales y más datos, como información de tarjetas de crédito o billeteras de criptomonedas. El software también es ampliamente utilizado por los intermediarios de acceso inicial, que recopilan credenciales válidas, con mayor frecuencia de empresas en lugar de individuos, y las venden a otros cibercriminales. Atomic Stealer, también llamado Atomic macOS Stealer o AMOS, es uno de los robadores de información de macOS más populares desde 2023. Está diseñado para robar credenciales y datos de billeteras de criptomonedas de dispositivos y navegadores macOS. Estructura de archivos de registro para el malware Atomic Stealer. Imagen: Intel471 Sin embargo, varios cibercriminales operan o anuncian otros robadores de información dirigidos a macOS. Un actor de amenazas apodado codehex anunció un robador de información de macOS llamado ShadowVault, capaz de robar datos de varios navegadores basados ​​en Chrome, archivos almacenados en computadoras comprometidas y datos de billeteras de criptomonedas. Los operadores de malware también podrían firmarlo con una firma de desarrollador de Apple, lo que dificulta su detección por parte del software de seguridad. El malware se vendió a un precio mensual de $500 bajo un modelo de negocio de Malware-as-a-Service (MaaS). Otro infostealer más caro, Quark Lab, con capacidades para robar contraseñas de llaveros de sistemas, así como billeteras de criptomonedas e información de navegadores populares, se vendió por $3,000 por mes. Troyanos Los troyanos de acceso remoto son otra categoría popular de malware que se implementa cada vez más en macOS. RustDoor, un malware para macOS desarrollado en RUST y posiblemente vinculado a un actor de amenazas de ransomware, proporciona varias funcionalidades a su controlador: Ejecuta comandos remotos. Manipula archivos en sistemas comprometidos. Agrega más cargas útiles. Recopila información del sistema. Esto lo convierte en una herramienta única tanto para actores de amenazas de ciberespionaje como de ciberdelito. El lenguaje de programación Rust se ha vuelto más popular entre los desarrolladores de malware, ya que es un lenguaje multiplataforma que permite a un desarrollador portar fácilmente el código a cualquier sistema operativo. Ransomware Como escribió Intel471, «la aparición del ransomware para macOS genera inquietudes, ya que demuestra que los actores de amenazas buscan nuevas vías para comprometer a los usuarios de Apple». En abril de 2023, los investigadores de seguridad descubrieron un nuevo cifrador para el infame ransomware LockBit, que apuntaba a dispositivos macOS, incluidos los sistemas macOS más nuevos que se ejecutan en Apple Silicon. A fines de 2023 llegó otro ransomware menos avanzado, denominado Turtle, y desarrollado una vez más en un lenguaje de programación multiplataforma, Golang, también conocido como Go. El malware solo estaba firmado ad hoc y no notariado, lo que lo hacía detectable por Gatekeeper, como explicó el investigador de seguridad experto Patrick Wardle. Cobertura imprescindible de Apple Vulnerabilidades explotadas El número de vulnerabilidades de macOS explotadas en 2023 aumentó en más del 30%, según la empresa de software de gestión de parches Action1. Además, Intel471 encontró 69 vulnerabilidades que afectaron a varias versiones de macOS desde marzo de 2020 hasta julio de 2024, con más de 10 vulnerabilidades clasificadas en un nivel de alto riesgo. Algunas de estas vulnerabilidades han sido explotadas por actores de amenazas de ciberespionaje. CVE-2023-41993, una vulnerabilidad no especificada que afecta a varias versiones de macOS, se explotó para instalar el software espía Predator de Cytrox que se vendió a varias organizaciones patrocinadas por estados en todo el mundo. Los actores de amenazas también explotaron CVE-2023-41064, una vulnerabilidad de desbordamiento de búfer. El actor de amenazas de ciberespionaje vendió su software espía a organizaciones patrocinadas por estados. Un ciberdelincuente apodado oDmC3oJrrSuZLhp ofreció vender un exploit en un foro clandestino por $ 2.7 millones para la vulnerabilidad CVE-2022-32893, que permite a un atacante ejecutar código arbitrario en sistemas específicos. Actores de amenazas patrocinados por estados Si bien diferentes proveedores de software espía han vendido sus servicios a actores de amenazas patrocinados por estados, algunos de estos actores de amenazas desarrollan malware y herramientas dirigidas a macOS. El actor de amenazas norcoreano BlueNoroff, por ejemplo, ha desarrollado un cargador malicioso conocido como RustBucket, desarrollado para macOS y destinado a atacar a instituciones financieras cuyas actividades están relacionadas con las criptomonedas. El grupo también apunta a individuos que poseen activos de criptomonedas, con el objetivo final de robar todo el dinero criptográfico de las billeteras seleccionadas. Los actores de amenazas rusos APT28, parte de la Dirección Principal del Estado Mayor de las Fuerzas Armadas de Rusia, y APT29, parte del Servicio de Inteligencia Exterior de Rusia, también han utilizado malware para macOS. La puerta trasera modular XAgent utilizada por APT28 ha existido durante muchos años e incluía una versión para macOS, lo que le permitía robar datos de sistemas macOS comprometidos, incluidas copias de seguridad de iOS que contenían mensajes, contactos, correo de voz, historial de llamadas, notas y calendarios. APT29 utilizó el marco de administración remota multiplataforma y post-explotación Empire, que ya no es compatible, lo que permitió apuntar a macOS. El actor de amenazas con sede en Vietnam APT32 también implementó una puerta trasera para macOS utilizada para apuntar a diferentes organizaciones. Cómo protegerse contra esta amenaza Los sistemas macOS siempre deben estar actualizados y parcheados para evitar ser comprometidos por vulnerabilidades comunes. Se debe implementar software de seguridad en los sistemas para detectar malware y actividades sospechosas. También se deben utilizar soluciones de seguridad para el correo electrónico, ya que gran parte de los ataques iniciales se propagan a través de correos electrónicos de phishing. Por último, todos los empleados deben recibir formación para detectar posibles técnicas de ingeniería social utilizadas en los correos electrónicos o las herramientas de mensajería instantánea. Aviso: trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.