Detección de CloudMensis: Nuevo Malware para Robar Datos de Usuarios de macOS
Tabla de contenidos:
El nuevo malware CloudMensis entra en acción con ataques altamente dirigidos. Los investigadores aún no han establecido las técnicas que los atacantes usaron para obtener acceso inicial a los dispositivos de las víctimas; sin embargo, el pequeño número de ataques documentados desde febrero indica que el malware CloudMensis se desplegó para exfiltrar información como parte de una campaña dirigida a un cierto y limitado número de objetivos, lejos de ser utilizado en un enfoque menos efectivo de dispersión al azar.
El malware apareció por primera vez en los radares de seguridad en abril de 2022. Los investigadores descubrieron que su objetivo principal era recopilar datos sensibles de dispositivos infectados, espiando a los usuarios comprometidos. CloudMensis utiliza almacenamiento en la nube pública como Dropbox, pCloud y Yandex Disk para la comunicación C2, con sus objetivos clave siendo las máquinas que funcionan con chips Intel o Apple.
Detectar CloudMensis
Para ayudar a los usuarios individuales y organizaciones a proteger mejor su infraestructura, nuestro ávido desarrollador de Threat Bounty Onur Atali ha lanzado recientemente una regla Sigma que permite una rápida detección del malware CloudMensis. Los usuarios registrados pueden descargar estas reglas de la plataforma Detection as Code de SOC Prime:
Detección de CloudMensis macOS Spyware (vía file_event)
La detección se puede usar en más de 20 plataformas SIEM, EDR y XDR, alineadas con el marco MITRE ATT&CK® v.10, abordando la táctica de Ejecución con la técnica de Ejecución por el Usuario (T1204).
Los adeptos a la ciberseguridad son más que bienvenidos a unirse al Programa de Threat Bounty para compartir sus reglas Sigma con la comunidad de más de 28,000 usuarios y 600 investigadores y cazadores de amenazas del Programa de Threat Bounty, quienes contribuyen activamente con su propio contenido de detección a la Plataforma SOC Prime mientras reciben recompensas recurrentes por su aportación.
Explore el repositorio del Mercado de Detección de Amenazas de la Plataforma SOC Prime pulsando el botón Detect & Hunt para identificar rápidamente amenazas sofisticadas en entornos en rápida expansión. La biblioteca de contenido de detección de SOC Prime se actualiza constantemente con nuevo contenido, impulsado por el enfoque colaborativo de defensa cibernética y habilitado por el modelo Follow the Sun (FTS) para asegurar la entrega oportuna de detecciones para amenazas críticas. ¿Buscando estar al día con las últimas tendencias que moldean el panorama actual de amenazas cibernéticas y profundizar en el contexto relevante de amenazas? ¡Pruebe el motor de búsqueda de SOC Prime! Presione el botón Explore Threat Context para navegar instantáneamente por la agrupación de las principales amenazas y nuevas reglas Sigma publicadas, explorando información contextual relevante en una tienda todo en uno.
Detect & Hunt Explore Threat Context
Análisis de CloudMensis
La firma de ciberseguridad ESET ha puesto en el punto de mira un spyware previamente no documentado escrito en el lenguaje Objective-C, utilizado para comprometer dispositivos que ejecutan el sistema operativo macOS. La primera infección ocurrió a principios de febrero de 2022, con más ataques posteriores, según lee el análisis publicado por los investigadores de ESET.
Cuando los hackers obtienen privilegios administrativos, la carga útil de CloudMensis se despliega en un proceso de dos etapas. La primera etapa se caracteriza por la descarga y ejecución de la carga útil principal como un demonio a nivel del sistema. La muestra de malware analizada permitió a los investigadores identificar 39 comandos implementados, permitiendo lanzar procesos como iniciar una captura de pantalla, ejecutar comandos shell, obtener y ejecutar archivos arbitrarios, cambiar valores en las configuraciones de CloudMensis, listar mensajes de correo electrónico y archivos de almacenamiento extraíble, etc.
Los actores cibernéticos explotan rutinariamente configuraciones de seguridad deficientes y otras malas prácticas de ciberhigiene para aumentar su lista de golpes. SOC Prime equipa a los profesionales de la seguridad de la información con un conjunto de herramientas adecuado para una alta visibilidad en las amenazas existentes y emergentes.
