Il ricercatore di cybersecurity Greg Lesnewich ha scoperto una nuova backdoor per Apple macOS chiamata SpectralBlur, che presenta sovrapposizioni con una famiglia di malware nota attribuita ad attori di minacce nordcoreani.
Caratteristiche di SpectralBlur
Capacità Moderata: SpectralBlur è una backdoor moderatamente capace che può caricare/scaricare file, eseguire un shell, aggiornare la sua configurazione, eliminare file, ibernare o dormire, in base ai comandi emessi dal server di comando e controllo.
Somiglianze con KANDYKORN: Il malware condivide somiglianze con KANDYKORN (noto anche come SockRacket), un impianto avanzato che funge da trojan di accesso remoto in grado di prendere il controllo di un host compromesso.
Collegamenti con Altre Campagne
Attività di KANDYKORN: L’attività di KANDYKORN si interseca anche con un’altra campagna orchestrata dal sottogruppo Lazarus noto come BlueNoroff (o TA444), che culmina nel dispiegamento di una backdoor chiamata RustBucket e un payload in fase avanzata denominato ObjCShellz.
Combinazione di Catene di Infezione: Negli ultimi mesi, l’attore della minaccia è stato osservato combinando pezzi disparati di queste due catene di infezione, sfruttando i dropper RustBucket per consegnare KANDYKORN.
Implicazioni per gli Utenti macOS
Aumento di Attacchi su macOS: Queste scoperte sono un altro segno che gli attori delle minacce nordcoreani stanno sempre più puntando su macOS per infiltrarsi in obiettivi ad alto valore, in particolare quelli all’interno delle industrie delle criptovalute e della blockchain.
Difficoltà di Analisi e Rilevamento: Ciò che rende il malware degno di nota sono i suoi tentativi di ostacolare l’analisi ed evitare il rilevamento, utilizzando grantpt per configurare un pseudo-terminale ed eseguire comandi shell ricevuti dal server C2.
Crescita del Malware su macOS
Aumento di Nuove Famiglie di Malware: Nel 2023 sono state scoperte un totale di 21 nuove famiglie di malware progettate per colpire i sistemi macOS, inclusi ransomware, stealer di informazioni, trojan di accesso remoto e malware supportato da stati-nazione, in aumento rispetto ai 13 identificati nel 2022.
Previsioni per il 2024: Con la continua crescita e popolarità di macOS (soprattutto nell’ambito aziendale), il 2024 porterà sicuramente una serie di nuovi malware per macOS.