Des chercheurs en cybersécurité ont découvert une nouvelle porte dérobée Apple macOS appelée Flou spectral qui chevauche une famille de logiciels malveillants connue qui a été attribuée aux auteurs de menaces nord-coréens.
« SpectralBlur est une porte dérobée moyennement performante qui peut télécharger/télécharger des fichiers, exécuter un shell, mettre à jour sa configuration, supprimer des fichiers, mettre en veille prolongée ou dormir, en fonction des commandes émises par le [command-and-control] serveur », le chercheur en sécurité Greg Lesnewich dit.
Le malware partage des similitudes avec KANDYKORN (alias SockRacket), un implant avancé qui fonctionne comme un cheval de Troie d’accès à distance capable de prendre le contrôle d’un hôte compromis.
Il convient de noter que l’activité de KANDYKORN recoupe également une autre campagne orchestrée par le sous-groupe Lazarus connu sous le nom de BlueNoroff (alias TA444) qui culmine avec le déploiement d’une porte dérobée appelée RustBucket et d’une charge utile de stade avancé baptisée ObjCShellz.
Au cours des derniers mois, l’acteur malveillant a été observé combinant des éléments disparates de ces deux chaînes d’infection, exploitant les compte-gouttes RustBucket pour livrer KANDYKORN.
Les dernières découvertes sont un autre signe que les acteurs nord-coréens de la menace se tournent de plus en plus vers macOS pour infiltrer des cibles de grande valeur, en particulier celles des secteurs de la cryptomonnaie et de la blockchain.
« TA444 continue de fonctionner à toute vitesse avec ces nouvelles familles de logiciels malveillants macOS », a déclaré Lesnewich.
Le chercheur en sécurité Patrick Wardle, qui a partagé informations supplémentaires dans le fonctionnement interne de SpectralBlur, a déclaré que le binaire Mach-O était téléchargé au service d’analyse des logiciels malveillants VirusTotal en août 2023 depuis la Colombie.
Les similitudes fonctionnelles entre KANDYKORN et SpectralBlur ont soulevé la possibilité qu’ils aient été construits par différents développeurs gardant les mêmes exigences à l’esprit.
Ce qui distingue le malware, ce sont ses tentatives d’entraver l’analyse et d’échapper à la détection lors de l’utilisation subvention pour configurer un pseudo-terminal et exécuter les commandes shell reçues du serveur C2.
Cette divulgation intervient alors qu’un total de 21 nouvelles familles de logiciels malveillants conçus pour cibler les systèmes macOS, notamment les ransomwares, les voleurs d’informations, les chevaux de Troie d’accès à distance et les logiciels malveillants soutenus par des États-nations, ont été découvertes en 2023, contre 13 identifiés en 2022.
« Avec la croissance et la popularité continues de macOS (en particulier dans les entreprises !), 2024 apportera sûrement une multitude de nouveaux logiciels malveillants pour macOS », Wardle noté.