Neue macOS-Hintertür im Zusammenhang mit Nordkorea taucht auf

Penka Hristovska
Veröffentlicht am: 10. Januar 2024

Experten haben eine neue Malware-Variante entdeckt, die es auf Apples macOS-Geräte abgesehen hat.

Greg Lesnewich, Senior Threat Researcher bei Proofpoint, analysierte und diskutierte den neuen Virus in eine technische Beschreibung Anfang dieses Monats auf seinem persönlichen Blog veröffentlicht. Er sagte, die Malware heiße SpectralBlur und beschrieb sie als „mäßig leistungsfähigen“ Code.

Laut Lesnewich ist die neue macOS-Malware in der Lage, Dateien herunterzuladen, hochzuladen und zu löschen sowie Shell-Befehle auszuführen und in den Schlaf- und Ruhezustand zu wechseln.

Das Beispiel wurde erstmals im August letzten Jahres auf VirusTotal hochgeladen, blieb jedoch den Antiviren-Engines verborgen und Forscher bemerkten es erst letzte Woche.

Lesnewich stellte die Verbindung mithilfe von KANDYKORN (auch bekannt als SockRacket) her, einer Malware, die zuvor als Teil des Arsenals von BlueNoroff identifiziert worden war. KANDYKORN wird ausdrücklich als Fernzugriffstrojaner beschrieben, der die Übernahme kompromittierter Endpunkte ermöglicht.

Der Sicherheitsforscher von Objective-See, Patrick Wardle, hat sich auch SpectralBlur angesehen. Ihm zufolge löst die Malware bei Aktivierung eine Funktion aus, die darauf abzielt, ihre Konfiguration und Netzwerkkommunikation zu entschlüsseln und zu verschlüsseln. Anschließend werden eine Reihe von Maßnahmen ergriffen, um die Analyse zu erschweren und einer Entdeckung zu entgehen.

Wardle erklärt dass der Virus ein Pseudoterminal verwendet, um Shell-Befehle vom Command and Control Center (C&C) auszuführen. Er glaubt, dass es speziell so programmiert ist, dass Dateien nach dem Zugriff gelöscht werden, indem der Inhalt durch Nullen ersetzt wird.

Es wird angenommen, dass die Malware von einer Untergruppe von Lazarus entwickelt wurde, einem berüchtigten staatlich geförderten Bedrohungsakteur aus Nordkorea. Bekanntheit erlangte die Gruppe durch ihren Fokus auf Kryptowährungsunternehmen, insbesondere solche, die an der Entwicklung von „Brücken“-Projekten beteiligt sind. Jede Kryptowährung arbeitet auf ihrer eigenen Blockchain und diese „Brücken“ wurden von Entwicklern geschaffen, um Interaktionen zwischen verschiedenen Blockchains zu ermöglichen. Obwohl sie oft von unabhängigen Sicherheitsbehörden geprüft werden, enthalten sie immer noch kritische Schwachstellen, die böswilligen Akteuren Tür und Tor öffnen.

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.safetydetectives.com/news/new-macos-backdoor-linked-to-north-korea-emerges/