I ricercatori di sicurezza informatica hanno scoperto una nuova backdoor per Apple macOS chiamata SpectralBlur, che presenta non poche analogie con una nota famiglia di malware attribuita ad un noto gruppo hacker proveniente dalla Corea del Nord, conoscuito come Lazarus Group (o gruppo Lazarus), già noti in passato per vari attacchi hacker verso diversi paesi e organizzazioni.
Cosa si sa di SpectralBlur
“SpectralBlur è una backdoor moderatamente capace che può caricare/scaricare file, eseguire una shell, aggiornare la sua configurazione, eliminare file, ibernare o dormire, in base ai comandi emessi dal server di comando e controllo,” ha dichiarato il ricercatore di sicurezza Greg Lesnewich.
Il malware presenta somiglianze con KANDYKORN (alias SockRacket), un impianto avanzato che funge da trojan per l’accesso remoto capace di prendere il controllo di un host compromesso.
È importante notare che l’attività di KANDYKORN si sovrappone anche con un’altra campagna orchestrata dal sottogruppo Lazarus noto come BlueNoroff (alias TA444), che culmina nel rilascio di una backdoor chiamata RustBucket e di un payload di fase avanzata denominato ObjCShellz.
Negli ultimi mesi, i criminali informatici sono stati osservati combinare i più mezzi disparati di queste due catene di infezione, sfruttando dropper RustBucket per distribuire KANDYKORN.
Le ultime scoperte sono un altro segnale che i criminali informatici nordcoreani stanno sempre più puntando su macOS per infiltrare bersagli di alto valore, in particolare quelli nei settori delle criptovalute e delle tecnologie blockchain.
“TA444 continua a procedere veloce e furioso con queste nuove famiglie di malware per macOS” ha dichiarato Lesnewich.
Il ricercatore di sicurezza Patrick Wardle, che ha condiviso ulteriori approfondimenti sulle dinamiche interne di SpectralBlur, ha dichiarato che il binario Mach-O è stato caricato sul servizio di scansione malware VirusTotal nell’agosto 2023 dalla Colombia.
Le somiglianze funzionali tra KANDYKORN e SpectralBlur hanno fatto sorgere la possibilità che possano essere stati sviluppati da diversi creatori che avevano gli stessi requisiti in mente.
Ciò che rende il malware unico sono i suoi tentativi di ostacolare l’analisi ed eludere la rilevazione utilizzando grantpt per configurare un pseudoterminale ed eseguire comandi shell ricevuti dal server C2.
La divulgazione arriva mentre sono stati scoperti complessivamente 21 nuove famiglie di malware progettate per mirare ai sistemi macOS, tra cui ransomware, ladri di informazioni, trojan per l’accesso remoto e malware supportato dallo stato, nel 2023, rispetto ai 13 identificati nel 2022.
“Con la continua crescita e popolarità di macOS (specialmente nell’ambito aziendale!), il 2024 porterà sicuramente una serie di nuovi malware per macOS” ha concluso Wardle.
Approfondimento: perché macOS non è più così sicuro come una volta
L’aumento delle minacce informatiche rivolte a macOS indica un cambiamento significativo nella percezione della sua sicurezza; in passato, i sistemi operativi macOS erano spesso considerati più sicuri rispetto ai loro omologhi Windows, principalmente a causa della loro struttura Unix-like e della politica di approvazione delle applicazioni da parte di Apple.
Tuttavia, recentemente, c’è stata una crescente attenzione da parte dei criminali informatici nei confronti di macOS, con un aumento delle scoperte di malware mirati a questa piattaforma.
Ciò può essere attribuito a diversi fattori, tra cui l’aumento della popolarità di macOS, soprattutto nell’ambito aziendale, che lo rende un obiettivo più attraente per gli hacker; inoltre, la percezione diffusa di una presunta invulnerabilità di macOS potrebbe aver portato a una minore attenzione da parte degli utenti e degli sviluppatori di software per la sicurezza, pertanto questo cambiamento di scenario richiede una revisione delle pratiche di sicurezza per gli utenti macOS, che devono ora essere consapevoli dei rischi crescenti e adottare misure proattive per proteggere i loro sistemi.
Inoltre, l’approccio degli sviluppatori di malware, come evidenziato dal caso di SpectralBlur, dimostra una crescente sofisticazione nella creazione di backdoor e trojan per macOS; l’uso di tecniche avanzate, come la configurazione di pseudoterminali per eseguire comandi shell, mette in luce la necessità di costante vigilanza e aggiornamenti nella difesa contro le minacce informatiche e pertanto gli utenti e le aziende che utilizzano macOS dovrebbero essere consapevoli di questo cambiamento di scenario e adottare misure di sicurezza più robuste per proteggere i propri dati e le proprie operazioni online.
