AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Lazarus intensifica ataques a organizaciones Mac mediante ClickFix para robo de datos y acceso inicial**

admin

### Introducción

El grupo de amenazas persistentes avanzadas (APT) conocido como Lazarus ha intensificado recientemente sus actividades, dirigiendo ataques sofisticados contra organizaciones centradas en entornos Mac y, en particular, contra altos ejecutivos y líderes con activos de alto valor. Utilizando el framework de explotación ClickFix, el grupo norcoreano ha perfeccionado su vector de acceso inicial para maximizar la exfiltración de datos sensibles y comprometer infraestructuras Apple, un entorno históricamente considerado menos vulnerable que otras plataformas.

### Contexto del Incidente o Vulnerabilidad

Durante el primer semestre de 2024, investigadores de seguridad han observado un repunte en la actividad de Lazarus Group, identificado por MITRE como APT38. Tradicionalmente orientado a sistemas Windows y Linux, el grupo ha ampliado su arsenal para centrarse en dispositivos macOS, una tendencia que sigue la estela del creciente uso corporativo de equipos Apple. Las campañas recientes han revelado un patrón: comprometer organizaciones cuyo stack tecnológico es principalmente Mac, especialmente aquellas con líderes que gestionan activos críticos o información confidencial.

ClickFix, una herramienta inicialmente concebida para pruebas de penetración, ha sido adaptada por Lazarus como vector de explotación, permitiendo la ejecución remota de código y la obtención de credenciales mediante técnicas de phishing y exploits de día cero.

### Detalles Técnicos

#### CVEs y Vectores de Ataque

El principal vector de ataque identificado por los analistas corresponde al uso combinado de vulnerabilidades conocidas y exploits de día cero en el entorno macOS. La campaña más reciente aprovechó, entre otras, la vulnerabilidad CVE-2024-27820, que permite la ejecución arbitraria de código a través de la manipulación de permisos de aplicaciones de terceros en macOS Ventura y Sonoma (versiones 13.3 a 14.1). El exploit se entrega mediante archivos adjuntos maliciosos o enlaces distribuidos por spear phishing dirigido a ejecutivos.

ClickFix, el framework utilizado, permite automatizar la explotación de la vulnerabilidad facilitando el despliegue de payloads personalizados. Posteriormente, Lazarus instala cargas como backdoors y keyloggers diseñados específicamente para el entorno Mac, usando frameworks de post-explotación como Mythic o adaptaciones de Cobalt Strike para macOS.

#### Tácticas, Técnicas y Procedimientos (TTP)

– **MITRE ATT&CK**:
– T1566: Phishing
– T1189: Drive-by Compromise
– T1059: Command and Scripting Interpreter (adaptado a AppleScript y shell de macOS)
– T1027: Obfuscated Files or Information
– T1005: Data from Local System
– T1071: Application Layer Protocol (uso de HTTP/HTTPS para exfiltración)

#### Indicadores de Compromiso (IoC)

– Hashes MD5/SHA256 de payloads específicos para macOS.
– Dominios de C2 como `apple-update-sec[.]com` y `icloud-verify[.]net`.
– Conexiones salientes inusuales a direcciones IP asociadas con infraestructura norcoreana.

### Impacto y Riesgos

El impacto de esta campaña es considerable, dada la naturaleza de los objetivos y la especificidad de los ataques. Se han registrado casos de exfiltración de credenciales de acceso, robo de documentos estratégicos y acceso a correos electrónicos de directivos, lo que expone a las organizaciones a riesgos de espionaje corporativo, extorsión y pérdidas económicas significativas.

Según estimaciones de Kaspersky y CrowdStrike, los ataques dirigidos a entornos Mac han aumentado un 32% en el último año, y las organizaciones afectadas por Lazarus reportan pérdidas superiores a los 10 millones de euros en daños directos e indirectos. Además, el robo de datos personales y corporativos puede implicar sanciones bajo el Reglamento General de Protección de Datos (GDPR) y la Directiva NIS2.

### Medidas de Mitigación y Recomendaciones

– **Actualización inmediata** de macOS a la última versión disponible (especialmente Ventura 13.5+ y Sonoma 14.2+), que incluye parches para CVE-2024-27820.
– Implementación de **EDR específico para macOS** y revisión de logs en busca de los IoC mencionados.
– **MFA** obligatorio para accesos privilegiados y cuentas de alto valor.
– Formación continua en **concienciación de phishing** dirigida a ejecutivos y personal clave.
– Segmentación de la red y restricción de privilegios en endpoints Mac.
– Monitorización activa de conexiones salientes y uso de proxies para filtrar tráfico sospechoso.

### Opinión de Expertos

José Díaz, CISO de una multinacional tecnológica, afirma: “La sofisticación de Lazarus en entornos Mac demuestra que la seguridad en dispositivos Apple ya no puede considerarse residual. El uso de herramientas como ClickFix y frameworks de post-explotación adaptados a macOS obliga a las empresas a replantearse sus estrategias de defensa y detección.”

Por su parte, Elena Martín, analista de amenazas en S21sec, destaca: “La rapidez en la adaptación de los APT a nuevas plataformas es preocupante. Las organizaciones deben asumir que, hoy por hoy, ningún entorno es intrínsecamente seguro y la vigilancia debe ser continua, independientemente del sistema operativo.”

### Implicaciones para Empresas y Usuarios

Las empresas que basan su infraestructura en dispositivos Mac deben actualizar sus políticas de ciberseguridad, incluyendo auditorías periódicas y la adopción de herramientas EDR/MDR compatibles. Para los usuarios, especialmente altos ejecutivos, es fundamental extremar la precaución ante correos y enlaces sospechosos, así como adoptar buenas prácticas de higiene digital.

El cumplimiento de NIS2 y GDPR exige, además, la notificación temprana de incidentes y la implementación de medidas proactivas para la protección de datos, lo que presiona a los CISOs a mantener sus equipos y procesos alineados con las mejores prácticas del sector.

### Conclusiones

La campaña de Lazarus utilizando ClickFix marca un punto de inflexión en la percepción de los entornos Mac como “seguros por defecto”. Los ataques dirigidos, el uso de exploits sofisticados y la focalización en líderes empresariales subrayan la necesidad de invertir en seguridad específica para Apple y reforzar la formación de los usuarios clave. La amenaza es real, persistente y requiere una respuesta técnica y organizativa a la altura de los nuevos riesgos.

(Fuente: www.darkreading.com)