Investigadores en ciberseguridad han encontrado una nueva puerta trasera (backdoor) en Apple macOS llamada SpectralBlur, que se superpone con una familia de malware conocida y atribuida a actores de amenazas de Corea del Norte.
«SpectralBlur es una puerta trasera moderadamente capaz que puede subir/bajar archivos, ejecutar un shell, actualizar su configuración, eliminar archivos, hibernar o dormir, en base a órdenes emitidas por el servidor de control y comando», dijo el investigador de seguridad Greg Lesnewich.
El malware comparte similitudes con KANDYKORN (también conocido como SockRacket), un implante avanzado que funciona como un troyano de acceso remoto capaz de tomar el control de un host comprometido.
Es importante mencionar que la actividad de KANDYKORN también se intersecta con otra campaña orquestada por el subgrupo Lazarus conocido como BlueNoroff (también conocido como TA444), que culmina en la implementación de una puerta trasera referida como RustBucket y un payload tardío denominado ObjCShellz.
En los últimos meses, se ha observado al actor de amenaza combinando piezas dispares de estas dos cadenas de infección, aprovechando cargadores RustBucket para entregar KANDYKORN.
Los hallazgos más recientes son una señal de que los actores de amenazas de Corea del Norte están fijando cada vez más su atención en macOS para infiltrarse en objetivos de alto valor, especialmente en los sectores de criptomonedas e industrias de cadenas de bloques.
«TA444 sigue corriendo velozmente con estas nuevas familias de malware de macOS», dijo Lesnewich.
El investigador de seguridad Patrick Wardle, quien compartió información adicional sobre el funcionamiento interno de SpectralBlur, dijo que el archivo binario Mach-O fue subido al servicio de escaneo de malware VirusTotal en agosto de 2023 desde Colombia.
Las similitudes funcionales entre KANDYKORN y SpectralBlur han generado la posibilidad de que hayan sido creados por diferentes desarrolladores que cumplieron con los mismos requisitos.
Lo que hace que el malware resalte son sus intentos de dificultar el análisis y evadir la detección mientras utiliza grantpt para configurar un pseudoterminal y ejecutar comandos de shell recibidos del servidor C2.
La divulgación viene después de que se descubrieran un total de 21 nuevas familias de malware diseñadas para atacar sistemas macOS, incluyendo ransomware, robadores de información, troyanos de acceso remoto y malware respaldado por un estado-nación, en 2023, lo que representa un aumento de 13 identificados en 2022.
«Con el crecimiento y la popularidad continua de macOS (¡especialmente en la empresa!), 2024 seguramente traerá una gran cantidad de nuevos malware de macOS», señaló Wardle.
