Penka Hristovska
Pubblicato il: Gennaio 10, 2024
Gli esperti hanno scoperto una nuova variante di malware che prende di mira i dispositivi macOS di Apple.
Greg Lesnewich, Senior Threat Researcher presso Proofpoint, ha analizzato e discusso il nuovo virus in un resoconto tecnico pubblicato sul suo blog personale all'inizio di questo mese. Ha detto che il malware si chiama SpectralBlur e lo ha descritto come un pezzo di codice “moderatamente capace”.
Secondo Lesnewich, il nuovo malware per macOS è in grado di scaricare, caricare ed eliminare file, nonché di eseguire comandi shell e di accedere alle modalità di sospensione e ibernazione.
Il campione è stato caricato per la prima volta su VirusTotal nell'agosto dello scorso anno, ma è rimasto nascosto ai motori antivirus e i ricercatori lo hanno notato solo la settimana scorsa.
Lesnewich ha stabilito la connessione utilizzando KANDYKORN (noto anche come SockRacket), un malware che era stato precedentemente identificato come parte dell'arsenale di BlueNoroff. KANDYKORN è specificamente descritto come un trojan di accesso remoto, che consente di assumere il controllo di endpoint compromessi.
Anche il ricercatore di sicurezza di Objective-See Patrick Wardle ha esaminato SpectralBlur. Secondo lui, quando attivato, il malware attiva una funzione progettata per decrittografare e crittografare la sua configurazione e le comunicazioni di rete. Successivamente vengono adottate una serie di misure volte a ostacolare l’analisi ed eludere il rilevamento.
Wardle ha spiegato che il virus utilizza uno pseudo-terminale per eseguire comandi shell dal centro di comando e controllo (C&C). Crede che sia specificamente programmato per eliminare i file dopo avervi effettuato l'accesso sostituendo il loro contenuto con zeri.
Si ritiene che il malware sia stato progettato da un sottogruppo di Lazarus, un famigerato attore di minacce sponsorizzato dallo stato della Corea del Nord. Il gruppo ha guadagnato notorietà per la sua attenzione alle attività legate alle criptovalute, in particolare a quelle coinvolte nello sviluppo di progetti “ponte”. Ogni criptovaluta opera sulla propria blockchain e questi “ponti” sono stati creati dagli sviluppatori per consentire le interazioni tra diverse blockchain. Sebbene siano spesso controllati da moduli di sicurezza indipendenti, contengono ancora vulnerabilità critiche, che aprono la porta ad attori malintenzionati.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.safetydetectives.com/news/new-macos-backdoor-linked-to-north-korea-emerges/
