Penka Hristovska
Los expertos han descubierto una nueva variante de malware dirigida a los dispositivos macOS de Apple.
Greg Lesnewich, investigador senior de amenazas en Proofpoint, analizó y discutió el nuevo virus en una reseña técnica publicado en su blog personal a principios de este mes. Dijo que el malware se llama SpectralBlur y lo describió como un fragmento de código "moderadamente capaz".
El nuevo malware de macOS es capaz de descargar, cargar y eliminar archivos, así como ejecutar comandos de shell y entrar en modos de suspensión e hibernación, según Lesnewich.
La muestra se subió por primera vez a VirusTotal en agosto del año pasado, pero permaneció oculta a los motores antivirus y los investigadores recién lo notaron la semana pasada.
Lesnewich realizó la conexión utilizando KANDYKORN (también conocido como SockRacket), un malware que había sido identificado previamente como parte del arsenal de BlueNoroff. KANDYKORN se describe específicamente como un troyano de acceso remoto que permite tomar el control de puntos finales comprometidos.
El investigador de seguridad de Objective-See, Patrick Wardle, también analizó SpectralBlur. Según él, cuando se activa, el malware activa una función diseñada para descifrar y cifrar su configuración y comunicaciones de red. A continuación, adopta una serie de medidas destinadas a obstaculizar el análisis y eludir la detección.
Wardle explicado que el virus utiliza un pseudoterminal para ejecutar comandos de shell desde el centro de comando y control (C&C). Él cree que está específicamente programado para eliminar archivos después de acceder a ellos reemplazando su contenido con ceros.
Se cree que el malware fue diseñado por un subgrupo de Lazarus, un infame actor de amenazas patrocinado por el estado de Corea del Norte. El grupo ganó notoriedad por su enfoque en negocios de criptomonedas, particularmente aquellos involucrados en el desarrollo de proyectos "puente". Cada criptomoneda opera en su propia cadena de bloques y estos "puentes" fueron creados por desarrolladores para permitir interacciones entre diferentes cadenas de bloques. Aunque a menudo son auditados por formularios de seguridad independientes, aún contienen vulnerabilidades críticas, lo que abre la puerta a actores maliciosos.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://www.safetydetectives.com/news/new-macos-backdoor-linked-to-north-korea-emerges/
