Ερευνητές ασφαλείας ανακάλυψαν πρόσφατα ένα νέο backdoor που ονομάζεται SpectralBlur και στοχεύει συστήματα macOS. Το εν λόγω malware φαίνεται να έχει κοινά στοιχεία με γνωστό κακόβουλο λογισμικό που έχει αποδοθεί σε φορείς απειλών από τη Βόρεια Κορέα.
“Το SpectralBlur είναι ένα backdoor που μπορεί να ανεβάσει/κατεβάσει αρχεία, να εκτελέσει ένα shell, να ενημερώσει τις παραμέτρους του, να διαγράψει αρχεία, να αδρανοποιήσει συστήματα, με βάση εντολές που εκδίδονται από τον command-and-control server του“, δήλωσε ο ερευνητής ασφαλείας Greg Lesnewich.
Το backdoor φαίνεται πως έχει κάποια κοινά στοιχεία με το KANDYKORN malware (γνωστό και ως SockRacket), το οποίο λειτουργεί ως trojan απομακρυσμένης πρόσβασης, ικανό να αναλάβει τον έλεγχο ενός παραβιασμένου κεντρικού υπολογιστή.
Δείτε επίσης: JaskaGO: Ένα νέο malware που στοχεύει Windows και MacOS
Αξίζει να σημειωθεί ότι το KANDYKORN έχει συνδεθεί με μια καμπάνια που πραγματοποιήθηκε από την υποομάδα των Βορειοκορεατών hackers Lazarus, που είναι γνωστή ως BlueNoroff (ή TA444). Η επίθεση της BlueNoroff καταλήγει στην ανάπτυξη ενός backdoor που αναφέρεται ως RustBucket και ενός payload με το όνομα ObjCSshellz.
Τους τελευταίους μήνες, οι επιτιθέμενοι συνδυάζουν ανόμοια κομμάτια αυτών των δύο αλυσίδων μόλυνσης, αξιοποιώντας RustBucket droppers για την παράδοση του KANDYKORN.
Τα τελευταία ευρήματα είναι άλλο ένα σημάδι ότι οι Βορειοκορεάτες hackers στρέφουν όλο και περισσότερο την προσοχή τους σε συστήματα macOS για να στοχεύσουν σημαντικούς οργανισμούς και άτομα, ιδιαίτερα αυτούς που σχετίζονται με τις βιομηχανίες κρυπτονομισμάτων και blockchain.
“Η TA444 συνεχίζει να λειτουργεί γρήγορα με αυτές τις νέες οικογένειες κακόβουλου λογισμικού macOS“, είπε ο Lesnewich.
Ο ερευνητής ασφαλείας Patrick Wardle, ο οποίος μοιράστηκε πρόσθετες πληροφορίες για την εσωτερική λειτουργία του SpectralBlur backdoor, είπε ότι το Mach-O binary μεταφορτώθηκε στην υπηρεσία VirusTotal τον Αύγουστο του 2023 από την Κολομβία.
Οι λειτουργικές ομοιότητες μεταξύ του KANDYKORN και του SpectralBlur δείχνουν ότι μπορεί να έχουν δημιουργηθεί από προγραμματιστές που έχουν υπόψη τις ίδιες απαιτήσεις.
Δείτε επίσης: Οι Ιρανοί hackers APT33 στοχεύουν εταιρείες άμυνας με το FalseFont backdoor
Αυτό που κάνει το κακόβουλο λογισμικό SpectralBlur να ξεχωρίζει είναι οι προσπάθειές του να εμποδίσει την ανάλυση και να αποφύγει τον εντοπισμό, ενώ χρησιμοποιεί το grantpt για να ρυθμίσει ένα pseudo-terminal και να εκτελέσει shell commands που λαμβάνονται από τον διακομιστή C2.
Η ανακάλυψη του νέου backdoor δείχνει την όλο και πιο συχνή στόχευση των συστημάτων macOS. Σύμφωνα με έρευνες, το 2023 ανακαλύφθηκαν συνολικά 21 νέες οικογένειες κακόβουλων προγραμμάτων που έχουν σχεδιαστεί για να στοχεύουν macOS. Αυτά τα κακόβουλα λογισμικά περιλαμβάνουν ransomware, info-stealers, trojans απομακρυσμένης πρόσβασης και malware που έχουν δημιουργηθεί από κρατικούς hackers. Μιλάμε για μια σημαντική αύξηση από το 2022, όπου είχαν εντοπιστεί 13 νέα macOS malware.
“Με τη συνεχή ανάπτυξη και τη δημοτικότητα του macOS (ειδικά στις επιχειρήσεις!), το 2024 θα φέρει σίγουρα μια σειρά από νέο κακόβουλο λογισμικό macOS“, σημείωσε ο Wardle.
Προστασία από macOS backdoor malware
Για την πρόληψη της μόλυνσης από macOS Backdoor malware, είναι σημαντικό να διατηρείτε το λειτουργικό σύστημά σας ενημερωμένο. Οι ενημερώσεις περιλαμβάνουν συχνά διορθώσεις ασφαλείας που μπορούν να προστατεύσουν τον υπολογιστή σας από τις τελευταίες απειλές.
Δείτε επίσης: Οι Ρώσοι hackers APT28 μολύνουν οργανισμούς με το HeadLace backdoor
Επίσης, είναι απαραίτητο να χρησιμοποιείτε ένα αξιόπιστο πρόγραμμα antivirus. Αυτό θα πρέπει να είναι σε θέση να ανιχνεύει και να αφαιρεί ένα κακόβουλο λογισμικό, όπως το SpectralBlur, πριν μπορέσει να προκαλέσει ζημιά.
Ακόμα, προσέχετε τα email και τα μηνύματα που λαμβάνετε. Πολλά malware, συμπεριλαμβανομένου του macOS Backdoor, εξαπλώνονται μέσω φαινομενικά ακίνδυνων μηνυμάτων ή επισυναπτόμενων αρχείων. Ποτέ μην ανοίγετε ένα συνημμένο και μην κάνετε κλικ σε έναν σύνδεσμο αν δεν είστε βέβαιοι για την πηγή του.
Τέλος, είναι σημαντικό να διατηρείτε τακτικά αντίγραφα ασφαλείας των σημαντικών αρχείων σας. Αυτό μπορεί να μην προλαμβάνει την μόλυνση, αλλά μπορεί να σας βοηθήσει να ανακτήσετε τα δεδομένα σας αν ο υπολογιστής σας προσβληθεί.
Πηγή: thehackernews.com