El histórico foco que los ciberdelincuentes han puesto en Windows ha hecho pensar a los usuarios de ordenadores Apple, que MacOs es más seguro. Pero un estudio realizado por Accenture demuestra que la actividad contra este sistema operativo se está intensificando.
Explica la compañía en su Accenture Cyber Threat Intelligence (ACTI) que el mayor interés de los ciberdelincuentes en el sistema operativo macOS llega en un momento en que la adopción empresarial de ordenadores de Apple está aumentando, “creando una tormenta perfecta que podría elevar la amenaza para las empresas que utilizan macOS como parte de su pila de tecnología”. Según datos de un encuesta realizada por Jamf, una empresa que administra dispositivos Apple, en 2020 el porcentaje de organizaciones que usaban Mac como su dispositivo principal aumentó hasta el 23 %, frente al 17 % de 2019.
Considera Accenture preocupante la aparición de actores establecidos de gran reputación y con gran presupuesto que buscan exploits y otros métodos que les permitan eludir las funciones de seguridad de macOS, en particular, macOS Gatekeeper y Transparency, Consent and Control (TCC). MacOS Gatekeeper es una función de seguridad integrada que hace cumplir la firma del código de la aplicación, de modo que solo se ejecute software confiable en la máquina. TCC tiene como objetivo limitar la capacidad de las aplicaciones para interactuar con varias partes del sistema operativo sin el consentimiento explícito del usuario. Omitirlos podría permitir que los actores de amenazas implementen malware a través de aplicaciones que no son de confianza.
La búsqueda de vulnerabilidades que afecten a este sistema operativo no solo está generando importantes ingresos a los investigadores en programas de recompensas, sino que está elevando la reputación de los ciberdelincuentes capaces de ofrecer herramientas y exploits dirigidos a macOS.
Desde Accenture recuerdan que el pasado 8 de marzo de 2023, se anunció la capacidad de crear certificados empresariales de Apple para eludir macOS Gatekeeper, un servicio muy deseable para los actores de amenazas centrados en macOS. El servicio tiene un precio inicial de 100.000 dólares y le otorga al comprador uno de los «Certificados empresariales de Apple» personalizados por el actor, lo que le permite usar un certificado legítimo para firmar su malware, lo que aumenta drásticamente las posibilidades de que su malware pueda implementarse con éxito en los dispositivos de las víctimas.
El mismo sujeto que proporcionó certificaciones de Apple a medida también anunció la venta del malware Hidden Virtual Network Computing (hVNC) de macOS el 3 de abril de 2023 por 80.000 dólares, y la venta del exploit de una vulnerabilidad de macOS por 50.000 dólares. El exploit pasa por alto las medidas de seguridad y permite que los archivos Mach-O se ejecuten en cualquier máquina sin necesidad de CodeSign el binario.
En su estudio, Accenture ha observado varias discusiones en foros de la dark web que revelan un apetito por nuevas versiones de malware macOS, y también por la capacidad de orientar el malware existente a macOS.
