Un nuevo ladrón de información está intentando aprovecharse de la popularidad de una de las herramientas de malware más extendidas en el planeta, aprovechando algunas deficiencias de seguridad inherentes a los entornos macOS.
En una nueva publicación de blog, Cado Security analiza «El ladrón de Cthulhu» Una nueva herramienta de ciberdelito que está circulando últimamente. Está diseñada para robar credenciales de juegos y billeteras de criptomonedas, así como datos del navegador. No es particularmente sofisticada, tal vez porque no tiene por qué serlo. Ladrón atómico —El progenitor de Cthulhu— ha demostrado que así es. En los últimos años, este ladrón básicamente promedio se ha convertido en uno de los programas maliciosos más comunes en todo el mundo. Tal vez, sugieren los expertos, esto tenga que ver con algunas de las formas en que la comunidad de seguridad ha pasado por alto a los Mac en el pasado.
Caso de estudio: El ladrón de Cthulhu
Cthulhu Stealer es una imagen de disco de Apple (DMG) escrita en Golang. Normalmente llega a los ojos de la víctima camuflada en un programa de software legítimo, como la herramienta de mantenimiento CleanMyMac o el videojuego Grand Theft Auto.
Al abrirlo, el programa solicita la contraseña del sistema de la víctima y, ilógicamente, la contraseña de su billetera de criptomonedas Metamask.
«A los usuarios debería parecerles sospechoso, pero a veces la gente descarga cosas sin pensar», señala Tara Gould, investigadora de amenazas de Cado Security. En el caso de Cthulhu, el grupo demográfico al que va dirigido es el siguiente: «Puede que sean más jóvenes o que no tengan tanta experiencia en informática. Hay muchas razones por las que puede que no se les considere sospechosos».
Una vez instalado, el programa recopila datos del sistema, como su dirección IP, la versión del sistema operativo y diversos datos de hardware y software. Luego se dirige a su objetivo real: criptomonedas, cuentas de juego y credenciales del navegador. Las aplicaciones objetivo incluyen las billeteras de criptomonedas de Coinbase, Binance y Atomic, cookies de Firefox y datos de usuarios de Battle.net y Minecraft.
A pesar de costar 500 dólares al mes en los foros de delitos cibernéticos, Cthulhu Stealer es esencialmente poco sofisticado, no tiene técnicas de sigilo destacadas y es prácticamente indistinguible de al menos otra oferta disponible comercialmente en el mercado clandestino.
El camino que el ladrón atómico allanó
La característica más notable de Cthulhu Stealer es lo fielmente que es a Atomic Stealer. No solo comparten muchas de las mismas funciones y características, sino que Cthulhu Stealer incluso incluye algunos de los mismos errores tipográficos en el código de Atomic Stealer.
Atomic Stealer no es tan destacable en sí mismo. Anteriormente, Dark Reading advirtió su falta de un mecanismo de persistencia y lo caracterizó como un programa de «ataque y robo» por naturaleza. Aun así, no es de extrañar que otros autores de malware quieran copiarlo, ya que es uno de los ladrones de información más exitosos del mundo en la actualidad.
En un informe del mes pasado, Red Canary lo clasificó como El sexto malware más frecuente En la actualidad, está disponible en el mercado, empatado con los populares SocGholish y Lumma, y el omnipresente Cobalt Strike. Su sexto puesto es, en realidad, un paso por debajo de los informes anteriores de Red Canary, que han incluido a Atomic Stealer en sus listas de los 10 mejores durante todo el año 2024 hasta el momento.
«El hecho de que alguna amenaza para macOS esté entre las 10 principales es bastante asombroso», señala Brian Donohue, especialista principal en seguridad de la información de Red Canary. «Me aventuraría a decir que cualquier organización que tenga una presencia significativa de dispositivos macOS probablemente tenga a Atomic Stealer acechando en algún lugar de su entorno».
Cómo deben gestionar las empresas las amenazas de macOS
Las amenazas a macOS son claramente menos comunes que a Windows y Linux, con Elastic datos de 2022 y 2023 lo que sugiere que solo alrededor del 6% de todo el malware se puede encontrar en estos sistemas.
«Windows sigue siendo el principal objetivo, porque las grandes corporaciones tienden a seguir utilizando Windows en gran medida, pero eso está cambiando. Muchas empresas están comenzando a aumentar la cantidad de Macs que tienen, por lo que definitivamente se convertirá en un problema mayor», dice Gould.
Los hackers aún no se han sumado a la tendencia, pero hay un creciente interés, quizás porque hay muy poco interés por parte de los defensores.
En un correo electrónico enviado a Dark Reading, Jake King, director de inteligencia de amenazas y seguridad en Elastic, indicó que las amenazas a los Mac aumentaron menos del 1 % durante el año pasado y agregó: «Si bien no estamos observando patrones de crecimiento significativos que indiquen que se esté apuntando a MacOS específicamente para empresas, esto puede atribuirse a un menor volumen de telemetría adquirida de este sistema operativo. Hemos observado varios enfoques novedosos para explotar vulnerabilidades durante el año calendario que indican un interés adversario en varias campañas». En otras palabras: los datos pueden indicar una falta de interés en macOS por parte de los atacantes o de los defensores.
Si éxitos descontrolados como Atomic Stealer inspiran a más piratas informáticos a cambiar los sistemas operativos, los defensores estarán trabajando desde una posición desventajosa, gracias a años de desinterés por parte de la comunidad de seguridad.
Como explica Donohue, «muchas empresas adoptan sistemas macOS para ingenieros y administradores, por lo que muchas de las personas que utilizan máquinas macOS tienen, por defecto, privilegios elevados o manejan información confidencial. Y sospecho que hay menos experiencia en amenazas de macOS en esas organizaciones».
Donohue añade que también hay menos herramientas. «Tomemos como ejemplo EDR. Empezaron como herramientas para proteger sistemas Windows y luego se convirtieron en herramientas para proteger también sistemas macOS. Y las máquinas Windows tienen políticas de control de aplicaciones muy sólidas, pero no hay una funcionalidad similar en macOS Gatekeeper (que es más o menos análogo a Windows Defender). Es bastante bueno para encontrar binarios maliciosos y crear reglas y firmas YARA para ellos, pero muchos desarrolladores de malware han podido eludirlo».
King, de Elastic, añade: «Los controles predeterminados del sistema operativo, aunque eficaces, probablemente no evolucionen al mismo ritmo que los comportamientos adversarios». Por este motivo, King afirma: «Sigue siendo importante garantizar permisos de acceso razonables, controles de refuerzo suficientes e instrumentación que permita a las organizaciones observar o prevenir amenazas en los sistemas macOS».
