Surge novo backdoor do macOS vinculado à Coreia do Norte

Penka Hristovska
Publicado em: 10 de janeiro de 2024

Especialistas descobriram uma nova variante de malware direcionada aos dispositivos macOS da Apple.

Greg Lesnewich, pesquisador sênior de ameaças da Proofpoint, analisou e discutiu o novo vírus em um artigo técnico publicado em seu blog pessoal no início deste mês. Ele disse que o malware se chama SpectralBlur e o descreveu como um trecho de código “moderadamente capaz”.

O novo malware macOS é capaz de baixar, fazer upload e excluir arquivos, bem como executar comandos shell e entrar nos modos de suspensão e hibernação, de acordo com Lesnewich.

A amostra foi carregada pela primeira vez no VirusTotal em agosto do ano passado, mas permaneceu oculta dos mecanismos antivírus e os pesquisadores só a notaram na semana passada.

Lesnewich fez a conexão usando o KANDYKORN (também conhecido como SockRacket), um malware que havia sido identificado anteriormente como parte do arsenal do BlueNoroff. KANDYKORN é descrito especificamente como um trojan de acesso remoto, que permite o controle de endpoints comprometidos.

O pesquisador de segurança da Objective-See, Patrick Wardle, também analisou o SpectralBlur. Segundo ele, ao ser ativado, o malware aciona uma função destinada a descriptografar e criptografar sua configuração e comunicações de rede. Depois disso, toma uma série de medidas destinadas a obstruir a análise e evitar a detecção.

Wardle explicado que o vírus usa um pseudoterminal para executar comandos shell do centro de comando e controle (C&C). Ele acredita que está programado especificamente para excluir arquivos após acessá-los, substituindo seu conteúdo por zeros.

Acredita-se que o malware foi projetado por um subgrupo de Lazarus, um infame ator de ameaças patrocinado pelo Estado da Coreia do Norte. O grupo ganhou notoriedade por seu foco em negócios de criptomoedas, especialmente aqueles envolvidos no desenvolvimento de projetos “ponte”. Cada criptomoeda opera em seu próprio blockchain e essas “pontes” foram criadas pelos desenvolvedores para permitir interações entre diferentes blockchains. Embora sejam frequentemente auditados por formulários de segurança independentes, ainda contêm vulnerabilidades críticas, o que abre a porta para agentes mal-intencionados.

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
• Fonte: https://www.safetydetectives.com/news/new-macos-backdoor-linked-to-north-korea-emerges/