Pesquisadores de cibersegurança descobriram um novo backdoor do Apple macOS chamado SpectralBlur que se sobrepõe a uma família de malware conhecida que foi atribuída a atores de ameaça da Coreia do Norte.
"SpectralBlur é um backdoor moderadamente capaz que pode fazer upload/download de arquivos, executar um shell, atualizar sua configuração, excluir arquivos, hibernar ou dormir, com base nos comandos emitidos do servidor de comando e controle", disse o pesquisador de segurança Greg Lesnewich.
O malware compartilha similaridades com o KANDYKORN (também conhecido como SockRacket), um implante avançado que funciona como um trojan de acesso remoto capaz de tomar controle de um computador comprometido.
Vale a pena notar que a atividade do KANDYKORN também intersecta com outra campanha organizada pelo subgrupo Lazarus conhecido como BlueNoroff (também conhecido como TA444), que culmina na implantação de um backdoor chamado RustBucket e um payload de estágio tardio chamado ObjCShellz.
Nos últimos meses, o ator da ameaça foi observado combinando partes distintas dessas duas cadeias de infecção, usando droppers RustBucket para entregar KANDYKORN.
Os últimos achados são outro sinal de que os atores de ameaça da Coreia do Norte estão cada vez mais voltando sua atenção para o macOS para infiltrar alvos de alto valor, particularmente aqueles na indústria de criptomoedas e blockchain.
"TA444 continua a agir rápido e furioso com essas novas famílias de malware macOS", disse Lesnewich.
O pesquisador de segurança Patrick Wardle, que compartilhou percepções adicionais sobre o funcionamento interno do SpectralBlur, disse que o binário Mach-O foi enviado ao serviço de varredura de malware VirusTotal em agosto de 2023 na Colômbia.
As similaridades funcionais entre KANDYKORN e SpectralBlur levantaram a possibilidade de que eles possam ter sido construídos por diferentes desenvolvedores mantendo os mesmos requisitos em mente.
O que faz o malware se destacar são suas tentativas de dificultar a análise e evadir a detecção enquanto usa o grantpt para configurar um pseudo-terminal e executar comandos de shell recebidos do servidor C2.
A revelação vem com um total de 21 novas famílias de malware projetadas para atacar sistemas macOS, incluindo ransom ware, ladrões de informações, trojans de acesso remoto e malware com respaldo do estado, foram descobertos em 2023, acima dos 13 identificados em 2022.
"Com o contínuo crescimento e popularidade do macOS (especialmente nas empresas!), 2024 certamente trará uma enxurrada de novos malwares macOS", observou Wardle.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...