Ciberseguridad 360 | El primer malware de 2024 para macOS con orígenes Norcoreanos

SpectralBlur, un nuevo backdoor para macOS caracterizado por primera vez por los investigadores esta semana, parece estar relacionado con el malware norcoreano que atac� a los ingenieros de blockchain el a�o pasado.

El malware, apodado "el primer malware de 2024" por el investigador de seguridad Patrick Wardle, de Objective-See, se subi� por primera vez a VirusTotal en agosto de 2023.

El malware para macOS fue descubierto y analizado inicialmente por Greg Lesnewich, investigador principal de amenazas de Proofpoint, quien comparti� sus hallazgos en su blog personal el 3 de enero. Wardle realiz� posteriormente un an�lisis m�s profundo de la muestra SpectralBlur, publicado por Objective-See el 4 de enero.

Un nuevo malware para macOS utiliza un m�todo �nico para ejecutar comandos desde un servidor remoto

Seg�n Lesnewich, SpectralBlur presenta muchas de las caracter�sticas habituales de un malware de puerta trasera, incluida la capacidad de cargar, descargar y eliminar archivos, ejecutar shells y actualizar su configuraci�n. Realiza estas tareas ejecutando comandos desde un servidor remoto de mando y control (C2), y sus comunicaciones con el servidor est�n cifradas con Rivest Cipher 4 (RC4).

Uno de los aspectos m�s singulares de SpectralBlur fue se�alado por el investigador de amenazas de SentinelOne Phil Stokes, quien escribi� en X: "[SpectralBlur] Utiliza grantpt para configurar una pseudo-terminal. No lo hab�a visto antes".

Wardle tambi�n descubri� en su an�lisis el uso de pseudoterminales para ejecutar comandos shell de forma remota. Sospecha que esto forma parte de las t�cticas de ocultaci�n de SpectralBlur, que tambi�n incluyen cifrar su comunicaci�n con el servidor C2, borrar el contenido de sus propios archivos sobrescribi�ndolos con ceros y bifurcarse en varias instancias.

SpectralBlur es similar a KANDYKORN, del grupo Lazarus

Ingenieros de Blockchain fueron objetivo de hackers norcoreanos el pasado noviembre en una campa�a para propagar el troyano de acceso remoto KANDYKORN. Elastic Security Labs descubri� la campa�a, atribuy�ndola a actores patrocinados por el Estado vinculados al Grupo Lazarus.

Lesnewich utiliz� el servicio de b�squeda retroactiva de VirusTotal para buscar cadenas similares en otras muestras de malware e identific� solapamientos entre SpectralBlur y KANDYKORN, afirmando que ambos "parecen familias desarrolladas por diferentes personas con el mismo tipo de requisitos".

Por ejemplo, KANDYKORN tambi�n envuelve sus comunicaciones en cifrado RC4 y tiene muchas de las mismas capacidades de puerta trasera de gesti�n de archivos y autoconfiguraci�n. Sin embargo, SpectralBlur incluye muchas de sus propias cadenas exclusivas, as� como el inusual m�todo de pseudoterminales.

Wardle se�ala que SpectralBlur, originalmente subido por un usuario en Colombia, a�n no est� marcado como malicioso por ninguno de los motores antivirus agregados por VirusTotal.

Todav�a est� por ver si el "primer malware de 2024" est� siendo utilizado por actores de los estados-naci�n norcoreanos de forma similar a KANDYKORN, que tambi�n ha sido detectado en campa�as de t�cnicas mixtas dirigidas a macOS.

Fuente: scmagazine.com