Penka Christovska
Les experts ont découvert une nouvelle variante de malware qui cible les appareils macOS d’Apple.
Greg Lesnewich, chercheur principal sur les menaces chez Proofpoint, a analysé et discuté du nouveau virus dans une rédaction technique publié sur son blog personnel plus tôt ce mois-ci. Il a déclaré que le malware s’appelle SpectralBlur et l’a décrit comme un morceau de code « moyennement performant ».
Le nouveau malware macOS est capable de télécharger, de télécharger et de supprimer des fichiers, ainsi que d'exécuter des commandes shell et d'entrer en mode veille et veille prolongée, selon Lesnewich.
L’échantillon a été téléchargé pour la première fois sur VirusTotal en août de l’année dernière, mais il est resté caché des moteurs antivirus et les chercheurs ne l’ont remarqué que la semaine dernière.
Lesnewich a établi la connexion à l'aide de KANDYKORN (également connu sous le nom de SockRacket), un malware précédemment identifié comme faisant partie de l'arsenal de BlueNoroff. KANDYKORN est spécifiquement décrit comme un cheval de Troie d'accès à distance, qui permet de prendre le contrôle de points de terminaison compromis.
Patrick Wardle, chercheur en sécurité chez Objective-See, s'est également penché sur SpectralBlur. Selon lui, une fois activé, le malware déclenche une fonction destinée à décrypter et chiffrer sa configuration et ses communications réseau. Suite à cela, il prend une série de mesures destinées à entraver l’analyse et à échapper à la détection.
Wardle expliqué que le virus utilise un pseudo-terminal pour exécuter des commandes shell depuis le centre de commande et de contrôle (C&C). Il pense qu’il est spécifiquement programmé pour supprimer les fichiers après y avoir accédé en remplaçant leur contenu par des zéros.
On pense que le malware a été conçu par un sous-groupe de Lazarus, un acteur malveillant parrainé par l’État nord-coréen. Le groupe a acquis une notoriété en se concentrant sur les activités de crypto-monnaie, en particulier celles impliquées dans le développement de projets « bridge ». Chaque cryptomonnaie fonctionne sur sa propre blockchain et ces « ponts » ont été créés par les développeurs pour permettre les interactions entre les différentes blockchains. Bien qu’ils soient souvent audités par des organismes de sécurité indépendants, ils contiennent toujours des vulnérabilités critiques, qui ouvrent la porte aux acteurs malveillants.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.safetydetectives.com/news/new-macos-backdoor-linked-to-north-korea-emerges/
