El grupo de estados-nación vinculado a Corea del Norte llamado BlueNoroff ha sido atribuido a una cepa de malware macOS previamente indocumentada denominada ObjCShellz.
Jamf Threat Labs, que reveló detalles del malware, dijo que se utiliza como parte de la campaña de malware RustBucket, que salió a la luz a principios de este año.
“Basándonos en ataques anteriores realizados por BlueNoroff, sospechamos que este malware era una etapa tardía dentro de un malware de múltiples etapas entregado mediante ingeniería social”, dijo el investigador de seguridad Ferdous Saljooki en un informe compartido con The Hacker News.
BlueNoroff, también rastreado bajo los nombres APT38, Nickel Gladstone, Sapphire Sleet, Stardust Chollima y TA444, es un elemento subordinado del infame Lazarus Group que se especializa en delitos financieros, apuntando a los bancos y al sector criptográfico como una forma de evadir sanciones y generar ganancias ilícitas para el régimen.
El desarrollo llega días después de que Elastic Security Labs revelara el uso por parte del Grupo Lazarus de un nuevo malware para macOS llamado KANDYKORN para atacar a los ingenieros de blockchain.
También vinculado al actor de la amenaza hay un malware para macOS conocido como RustBucket, una puerta trasera basada en AppleScript que está diseñada para recuperar una carga útil de segunda etapa de un servidor controlado por un atacante.
En estos ataques se atrae a los posibles objetivos con el pretexto de ofrecerles asesoramiento sobre inversiones o un trabajo, para después iniciar la cadena de infección mediante un documento señuelo.
ObjCShellz, como sugiere el nombre, está escrito en Objective-C y funciona como un “shell remoto muy simple que ejecuta comandos de shell enviados desde el servidor atacante”.
“No tenemos detalles de contra quién se usó oficialmente”, dijo Saljooki a The Hacker News. “Pero dados los ataques que hemos visto este año y el nombre del dominio que crearon los atacantes, probablemente se usó contra una empresa que trabaja en la industria de las criptomonedas o trabaja en estrecha colaboración con ella”.
Actualmente se desconoce el vector de acceso inicial exacto para el ataque, aunque se sospecha que el malware se entrega como una carga útil posterior a la explotación para ejecutar comandos manualmente en la máquina pirateada.
“Aunque es bastante simple, este malware sigue siendo muy funcional y ayudará a los atacantes a lograr sus objetivos”, afirmó Saljooki.
La revelación también se produce cuando grupos patrocinados por Corea del Norte como Lazarus están evolucionando y reorganizándose para compartir herramientas y tácticas entre sí, desdibujando los límites, incluso mientras continúan creando malware personalizado para Linux y macOS.
“Se cree que los actores detrás [the 3CX and JumpCloud] Las campañas están desarrollando y compartiendo una variedad de conjuntos de herramientas y que son inevitables más campañas de malware para macOS”, dijo el investigador de seguridad de SentinelOne, Phil Stokes. dicho el mes pasado.