AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Ciberataques de Sapphire Sleet: Falsas ofertas de empleo y actualizaciones Zoom fraudulentas comprometen la seguridad de macOS**

admin

### 1. Introducción

En los últimos meses, los equipos de ciberseguridad han detectado una campaña sofisticada dirigida específicamente a usuarios de macOS, protagonizada por el grupo conocido como Sapphire Sleet. Aprovechando técnicas de ingeniería social avanzadas, los atacantes están distribuyendo malware mediante ofertas de trabajo fraudulentas y actualizaciones falsas de Zoom, con el objetivo de robar credenciales y datos sensibles. Este artículo desglosa en profundidad los métodos utilizados, las amenazas técnicas implicadas y las recomendaciones para mitigar el riesgo en entornos empresariales.

### 2. Contexto del Incidente o Vulnerabilidad

Sapphire Sleet, también conocido como APT15 o KeChang, es un actor de amenazas persistentes avanzado con historial de operaciones dirigidas a sectores tecnológicos y gubernamentales. Recientemente, han adaptado sus tácticas para centrarse en macOS, un sistema tradicionalmente menos atacado en comparación con Windows pero cada vez más presente en entornos corporativos.

Las campañas identificadas desde el primer trimestre de 2024 emplean mensajes de phishing altamente personalizados a través de LinkedIn y correo electrónico, ofertando supuestos puestos de trabajo en compañías tecnológicas de renombre. Paralelamente, se ha observado el envío de notificaciones de actualización falsas de Zoom, aprovechando la popularidad de la plataforma en el entorno profesional.

### 3. Detalles Técnicos

Las investigaciones han revelado que los atacantes distribuyen el malware conocido como ClickFix, diseñado específicamente para macOS. Los vectores de ataque principales identificados son:

– **Phishing dirigido**: Mensajes personalizados con enlaces a portales de empleo falsos o descargas de supuestas aplicaciones empresariales.
– **Spoofing de actualizaciones**: Notificaciones fraudulentas que simulan procedencia de Zoom, instando al usuario a instalar una falsa “actualización crítica”.

Una vez que la víctima ejecuta el archivo malicioso, ClickFix se instala y opera bajo privilegios elevados. Técnicamente, se han observado las siguientes tácticas, técnicas y procedimientos (TTP), mapeables al framework MITRE ATT&CK:

– **TA0001 Initial Access**: Spear phishing vía servicios y archivos adjuntos (T1566.002).
– **TA0002 Execution**: Ejecución de archivos .dmg y scripts de instalación camuflados (T1059.004).
– **TA0006 Credential Access**: Robo de credenciales almacenadas en el llavero de macOS (T1555.001).
– **TA0009 Collection**: Exfiltración de documentos y archivos sensibles (T1119).

Indicators of Compromise (IoC) reportados incluyen hashes SHA-256 de los ejecutables, dominios de C2 como “zoom-secure-update[.]com”, y direcciones IP asociadas a infraestructura cloud comprometedora. El exploit muestra técnicas de evasión como firmado de binarios con certificados legítimos comprometidos y mecanismos de persistencia vía LaunchAgents.

### 4. Impacto y Riesgos

El malware ClickFix permite a los atacantes obtener acceso total a los sistemas infectados, incluyendo credenciales corporativas, documentos confidenciales y acceso a redes privadas. Se han reportado incidentes en los que se ha facilitado el movimiento lateral hacia servidores críticos, posibilitando ataques de mayor alcance como ransomware o exfiltración masiva de datos.

Según análisis forense, entre un 5% y un 8% de los endpoints macOS en organizaciones tecnológicas han mostrado indicios de actividad relacionada, con un coste potencial de 2,7 millones de euros por incidente en concepto de pérdida de datos, interrupción de servicio y sanciones regulatorias (especialmente bajo GDPR y NIS2).

### 5. Medidas de Mitigación y Recomendaciones

Para reducir el riesgo de infección y propagación, los equipos de seguridad deben implementar las siguientes acciones:

– **Segmentación de red** y restricción de privilegios de usuario en macOS.
– **Bloqueo de ejecutables** no firmados y control de dispositivos USB.
– **Actualización inmediata** y forzada de Zoom y otras aplicaciones desde fuentes oficiales.
– **Monitorización proactiva** de IoC y comportamientos anómalos en endpoints macOS.
– **Campañas internas de concienciación** sobre phishing y verificación de procesos de selección.
– Revisión de logs mediante SIEMs y despliegue de EDRs compatibles con macOS (ej: CrowdStrike, SentinelOne).

### 6. Opinión de Expertos

Carlos Romero, analista jefe de amenazas en S21sec, señala: “Esta campaña demuestra que los atacantes ya no ven a macOS como un objetivo secundario. Su creciente adopción en entornos corporativos la convierte en una superficie de ataque cada vez más rentable y debemos ajustar nuestros controles y formación en consecuencia”.

Por su parte, Lucía Gómez, CISO en una multinacional tecnológica, advierte: “La sofisticación del phishing dirigido y la suplantación de plataformas empresariales clave como Zoom hacen que la detección temprana sea fundamental. Los controles de acceso y la supervisión continua son ya imprescindibles en cualquier SOC moderno”.

### 7. Implicaciones para Empresas y Usuarios

La profesionalización de campañas como la de Sapphire Sleet obliga a las empresas a revisar en profundidad sus políticas de seguridad en macOS, tradicionalmente menos cubiertas por soluciones EDR o MDR. Es crítico formar a los empleados sobre los nuevos vectores de phishing y establecer procedimientos de verificación para ofertas de empleo y actualizaciones de software.

A nivel legal, la exposición de datos personales y credenciales puede derivar en sanciones severas bajo el Reglamento General de Protección de Datos (GDPR) y la Directiva NIS2, especialmente en sectores críticos.

### 8. Conclusiones

La campaña de Sapphire Sleet confirma que la seguridad en macOS requiere el mismo nivel de atención, inversión y vigilancia que en otros sistemas operativos. La combinación de ingeniería social, explotación de la confianza en software corporativo y malware específico para Mac evidencia la evolución de los actores de amenazas y la necesidad de una defensa en profundidad, actualizada y adaptada a las nuevas realidades del puesto de trabajo digital.

(Fuente: www.darkreading.com)