Investigadores de ciberseguridad han descubierto una nueva puerta trasera para Apple macOS llamada Desenfoque espectral que se superpone con una familia de malware conocida que se ha atribuido a actores de amenazas norcoreanos.
«SpectralBlur es una puerta trasera de capacidad moderada que puede cargar/descargar archivos, ejecutar un shell, actualizar su configuración, eliminar archivos, hibernar o suspender, según comandos emitidos desde el [command-and-control] servidor», dijo el investigador de seguridad Greg Lesnewich dicho.
El malware comparte similitudes con KANDYKORN (también conocido como SockRacket), un implante avanzado que funciona como un troyano de acceso remoto capaz de tomar el control de un host comprometido.
Vale la pena señalar que la actividad de KANDYKORN también se cruza con otra campaña orquestada por el subgrupo de Lazarus conocido como BlueNoroff (también conocido como TA444) que culmina con el despliegue de una puerta trasera denominada RustBucket y una carga útil de última etapa denominada ObjCShellz.
En los últimos meses, se ha observado que el actor de amenazas combina partes dispares de estas dos cadenas de infección, aprovechando los cuentagotas de RustBucket para entregar KANDYKORN.
Los últimos hallazgos son otra señal de que los actores de amenazas norcoreanos están poniendo cada vez más sus miras en macOS para infiltrarse en objetivos de alto valor, particularmente aquellos dentro de las industrias de criptomonedas y blockchain.
«TA444 sigue funcionando rápido y furioso con estas nuevas familias de malware para macOS», afirmó Lesnewich.
El investigador de seguridad Patrick Wardle, quien compartió ideas adicionales en el funcionamiento interno de SpectralBlur, dijo que el binario Mach-O era subido al servicio de escaneo de malware VirusTotal en agosto de 2023 desde Colombia.
Las similitudes funcionales entre KANDYKORN y SpectralBlur han planteado la posibilidad de que hayan sido creados por diferentes desarrolladores teniendo en cuenta los mismos requisitos.
Lo que hace que el malware se destaque son sus intentos de dificultar el análisis y evadir la detección mientras se utiliza. concesión para configurar un pseudo-terminal y ejecutar comandos de shell recibidos del servidor C2.
La divulgación se produce cuando en 2023 se descubrieron un total de 21 nuevas familias de malware diseñadas para atacar sistemas macOS, incluidos ransomware, ladrones de información, troyanos de acceso remoto y malware respaldado por estados nacionales, en comparación con 13 identificados en 2022.
«Con el crecimiento continuo y la popularidad de macOS (¡especialmente en el ámbito empresarial!), 2024 seguramente traerá una gran cantidad de nuevo malware para macOS», Wardle anotado.