SpectralBlur: Nueva amenaza para macOS de piratas informáticos norcoreanos

Los expertos en seguridad cibernética han identificado recientemente una nueva puerta trasera en el sistema operativo Apple macOS, denominada SpectralBlur, la cual presenta una conexión con una reconocida familia de malware previamente asociada a actores de amenazas de Corea del Norte.

Greg Lesnewich, un investigador de seguridad, describió a SpectralBlur como una puerta trasera con capacidades moderadas, capaz de cargar y descargar archivos, ejecutar un shell, actualizar su configuración, eliminar archivos, hibernar o entrar en modo de reposo, todo ello basado en comandos emitidos desde el servidor de comando y control.

Se han observado similitudes entre este malware y KANDYKORN (también conocido como SockRacket), un implante avanzado que opera como un troyano de acceso remoto con la capacidad de tomar el control de un sistema comprometido.
Es importante destacar que la actividad asociada a KANDYKORN también se entrelaza con otra campaña llevada a cabo por el subgrupo Lazarus, conocido como BlueNoroff (o TA444), que culmina con la implementación de una puerta trasera llamada RustBucket y una carga útil final denominada ObjCShellz.

En los meses recientes, se ha observado cómo el actor de amenazas combina componentes diversos de estas dos cadenas de infección, utilizando los cuentagotas de RustBucket para la entrega de KANDYKORN.

Estos recientes descubrimientos indican que los actores de amenazas vinculados a Corea del Norte están incrementando su interés en macOS para infiltrarse en objetivos de alto valor, especialmente aquellos dentro de las industrias de criptomonedas y blockchain.

Greg Lesnewich comentó: "TA444 continúa operando de manera rápida y agresiva con estas nuevas familias de malware diseñadas para macOS".

Patrick Wardle, un investigador de seguridad que compartió detalles adicionales sobre el funcionamiento interno de SpectralBlur, informó que el binario Mach-O fue subido al servicio de escaneo de malware VirusTotal en agosto de 2023 desde Colombia.

Dadas las similitudes funcionales entre KANDYKORN y SpectralBlur, ha surgido la posibilidad de que hayan sido desarrollados por diferentes creadores con base en los mismos requisitos.
Lo que distingue a este malware es su enfoque en entorpecer el análisis y eludir la detección, utilizando grantpt para establecer un pseudoterminal y ejecutar comandos de shell que recibe del servidor de comando y control (C2).

Esta revelación se produce en un contexto en el que, en 2023, se identificaron un total de 21 nuevas familias de malware diseñadas para atacar sistemas macOS. Estas incluyen ransomware, ladrones de información, troyanos de acceso remoto y malware respaldado por estados-nación, en comparación con las 13 identificadas en 2022.

"Con el crecimiento continuo y la creciente popularidad de macOS, especialmente en entornos empresariales, es probable que 2024 vea la aparición de una gran cantidad de nuevo malware dirigido a macOS", señaló Patrick Wardle.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta