Els investigadors de ciberseguretat han descobert una nova porta posterior de macOS d’Apple anomenada SpectralBlur, que s’encavalca amb una família de programari maliciós coneguda que s’ha atribuït a actors d’amenaça de Corea del Nord.

“SpectralBlur és una porta posterior amb capacitat moderada que pot carregar/descarregar fitxers, executar un intèrpret d’ordres, actualitzar la seva configuració, suprimir fitxers, hibernar o dormir, basant-se en les ordres emeses des del [servidor d’ordres i control]”, va dir l’investigador de seguretat Greg Lesnewich. 

El programari maliciós comparteix similituds amb KANDYKORN (també conegut com a SockRacket), un implant avançat que funciona com un troià d’accés remot capaç de prendre el control d’un amfitrió compromès.

Val la pena assenyalar que l’activitat KANDYKORN també es creua amb una altra campanya orquestrada pel subgrup Lazarus, conegut com a BlueNoroff (també conegut com a TA444), que culmina amb el desplegament d’una porta del darrere anomenada RustBucket i una càrrega útil d’etapa tardana anomenada ObjCShellz.

En els últims mesos, s’ha observat que l’actor d’amenaça combina peces dispars d’aquestes dues cadenes d’infecció, aprofitant els comptagotes RustBucket per lliurar KANDYKORN.

Les últimes troballes són un altre senyal que indica que els actors de l’amenaça de Corea del Nord cada cop més tenen els seus ulls  en el macOS per infiltrar-se en objectius d’alt valor, especialment els de les criptomonedes i les indústries blockchain.

“El TA444 segueix funcionant de pressa i amb fúria amb aquestes noves famílies de programari maliciós macOS”, va dir Lesnewich.

L’investigador de seguretat Patrick Wardle, que va compartir informació addicional sobre el funcionament intern de SpectralBlur, va dir que el binari Mach-O es va carregar al servei d’anàlisi de programari maliciós VirusTotal a l’agost de 2023 des de Colòmbia.

Les similituds funcionals entre KANDYKORN i SpectralBlur han plantejat la possibilitat que hagin estat construïts per diferents desenvolupadors que han tingut en compte els mateixos requisits.

El que destaca del programari maliciós són els seus intents d’obstaculitzar l’anàlisi i eludir la detecció mentre s’utilitza grantpt per configurar un pseudo-terminal i executar ordres de shell rebudes del servidor C2.

La divulgació arriba quan el 2023 es van descobrir un total de 21 noves famílies de programari maliciós dissenyades per atacar sistemes macOS, inclosos programari de segrest, robatoris d’informació, troians d’accés remot i programari maliciós recolzat per estats-nacionals, en comparació amb les13 que es van identificar el 2022.

“Amb el creixement i la popularitat continuats de macOS (especialment a l’empresa), el 2024 segurament aportarà una gran quantitat de programari maliciós nou de macOS”, va assenyalar Wardle.