Apare un nou macOS Backdoor legat de Coreea de Nord

Penka Hristovska
Publicat în data de: Ianuarie 10, 2024

Experții au descoperit o nouă variantă de malware care vizează dispozitivele macOS Apple.

Greg Lesnewich, cercetător senior în domeniul amenințărilor la Proofpoint, a analizat și a discutat despre noul virus în o redacție tehnică publicat pe blogul său personal la începutul acestei luni. El a spus că malware-ul se numește SpectralBlur și l-a descris ca o bucată de cod „moderat capabilă”.

Noul malware macOS este capabil să descarce, să încarce și să ștergă fișiere, precum și să ruleze comenzi shell și să intre în modurile de repaus și hibernare, potrivit Lesnewich.

Eșantionul a fost încărcat pentru prima dată pe VirusTotal în august anul trecut, dar a rămas ascuns de motoarele antivirus, iar cercetătorii l-au observat abia săptămâna trecută.

Lesnewich a făcut conexiunea folosind KANDYKORN (cunoscut și sub numele de SockRacket), un malware care fusese anterior identificat ca parte a arsenalul BlueNoroff. KANDYKORN este descris în mod special ca un troian de acces la distanță, care permite preluarea punctelor finale compromise.

Patrick Wardle, cercetător de securitate de la Objective-See, s-a uitat și la SpectralBlur. Potrivit acestuia, atunci când este activat, malware-ul declanșează o funcție menită să decripteze și să cripteze configurația și comunicațiile în rețea. În continuare, este nevoie de o serie de măsuri menite să obstrucționeze analiza și să evite detectarea.

Wardle a explicat că virusul folosește un pseudo-terminal pentru a efectua comenzi shell de la centrul de comandă și control (C&C). El crede că este programat special pentru a șterge fișierele după ce le accesează prin înlocuirea conținutului lor cu zerouri.

Se crede că malware-ul a fost proiectat de un subgrup de Lazarus, un infam actor de amenințări sponsorizat de stat din Coreea de Nord. Grupul a câștigat notorietate pentru concentrarea pe afacerile cu criptomonede, în special pe cele implicate în dezvoltarea proiectelor „punte”. Fiecare criptomonedă funcționează pe propriul blockchain, iar aceste „punți” au fost create de dezvoltatori pentru a permite interacțiunile dintre diferitele blockchain-uri. Deși sunt adesea auditate de forme independente de securitate, ele conțin în continuare vulnerabilități critice, ceea ce deschide ușa pentru actorii rău intenționați.

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
• PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
• PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
• PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
• Sursa: https://www.safetydetectives.com/news/new-macos-backdoor-linked-to-north-korea-emerges/