Porta del darrere de SpectralBlur

Els experts en ciberseguretat han descobert una nova porta posterior de macOS d'Apple anomenada SpectralBlur. Aquesta porta del darrere presenta similituds amb un llinatge de programari maliciós reconegut vinculat als actors d'amenaça de Corea del Nord.

SpectralBlur és una porta posterior raonablement competent amb la possibilitat de carregar i descarregar fitxers, executar ordres de l'intèrpret d'ordres, modificar la seva configuració, esborrar fitxers, així com entrar en els modes d'hibernació o de suspensió. La característica distintiva d'aquest programari maliciós rau en els seus esforços per impedir l'anàlisi i eludir la detecció. Això ho aconsegueix utilitzant la funció grantpt per establir un pseudoterminal, a través del qual executa les ordres de l'intèrpret d'ordres rebudes del servidor de comandaments i control (C2).

Similituds entre SpectralBlur i altres programes maliciosos de macOS

El programari maliciós SpectralBlur mostra semblances amb KANDYKORN (també reconegut com SockRacket), un implant avançat que funciona com un troià d'accés remot dissenyat per assumir el control dels amfitrions compromesos. En particular, les activitats de KANDYKORN s'entrecreuen amb una altra campanya realitzada pel subgrup de Lazarus BlueNoroff (també identificat com a TA444). Aquesta campanya implica el desplegament d'una porta posterior coneguda com RustBucket i una càrrega útil d'etapa tardana anomenada ObjCShellz .

En observacions recents, l'actor de l'amenaça ha combinat elements d'aquestes dues cadenes d'infecció. Concretament, utilitzen comptagotes RustBucket per lliurar KANDYKORN. Aquesta convergència planteja la possibilitat que diferents desenvolupadors hagin construït KANDYKORN i SpectralBlur tenint en compte requisits similars, donades les seves similituds funcionals.

Els ciberdelinqüents continuen mostrant un enfocament creixent als dispositius macOS

Els grups cibercriminals concentren cada cop més els seus esforços a orientar els dispositius macOS amb programari maliciós, cosa que reflecteix una tendència creixent a diversificar els seus vectors d'atac per explotar les vulnerabilitats del sistema operatiu d'Apple. Diversos factors contribueixen a aquest canvi d'enfocament:

• Creixement de la quota de mercat : a mesura que la popularitat dels dispositius macOS, com ara els ordinadors portàtils MacBook i els ordinadors de sobretaula iMac, continua augmentant, els ciberdelinqüents veuen una base d'usuaris en expansió com un objectiu atractiu. Amb més persones i empreses que adopten productes Apple, l'impacte potencial del programari maliciós específic de macOS es fa més important.
• Seguretat percebuda : històricament, macOS s'ha considerat més segur que altres sistemes operatius, com Windows. Tanmateix, aquesta percepció ha provocat una sensació de complaença entre alguns usuaris de macOS, cosa que els converteix en objectius potencialment més fàcils. Els ciberdelinqüents aprofiten la idea errònia que els dispositius d'Apple són immunes al programari maliciós, aprofitant qualsevol bretxa de seguretat que hi pugui haver.
• Amenaces persistents avançades (APT) : els actors de l'estat nacional i els grups de pirateria sofisticats utilitzen cada cop més tàctiques avançades per infiltrar-se en entorns macOS. Aquests actors d'amenaces sovint desenvolupen programari maliciós personalitzat dissenyat específicament per a macOS, centrant-se en tècniques de sigil, persistència i evasió per no ser detectats durant períodes prolongats.
• Atacs multiplataforma : alguns ciberdelinqüents han adoptat estratègies multiplataforma, desenvolupant programari maliciós que pot orientar tant els sistemes macOS com Windows. Aquest enfocament els permet maximitzar l'impacte de les seves campanyes aprofitant les vulnerabilitats de diversos sistemes operatius dins d'una xarxa objectiu.
• Motivació econòmica : com que els usuaris de macOS sovint s'associen amb estatus socioeconòmic més alt, els ciberdelinqüents poden veure'ls com a objectius més lucratius. Els fraus financers, els atacs de ransomware i altres formes de ciberdelinqüència poden generar rendiments més elevats quan es dirigeixen a persones o organitzacions que utilitzen dispositius Apple.
• Aprofitant les debilitats de l'ecosistema d'Apple : la naturalesa interconnectada de l'ecosistema d'Apple, inclòs iCloud i altres serveis, ofereix oportunitats als ciberdelinqüents per aprofitar les debilitats. El fet de comprometre un dispositiu pot provocar un accés no autoritzat a altres dispositius enllaçats i informació sensible.
• Botigues i descàrregues d'aplicacions de tercers : els usuaris que baixin aplicacions des de botigues d'aplicacions sense control o fonts no autoritzades poden exposar-se inadvertidament a programari maliciós. Els ciberdelinqüents solen disfressar programari maliciós com a aplicacions legítimes, explotant els usuaris que busquen programari fora de l'App Store oficial d'Apple.

Per contrarestar aquesta amenaça creixent, els usuaris de macOS haurien de prioritzar les millors pràctiques de seguretat, com ara mantenir actualitzats els seus sistemes operatius i programes, utilitzar programari de seguretat de bona reputació, evitar descàrregues sospitoses i mantenir-se atents als intents de pesca. A més, Apple continua millorant les seves funcions de seguretat i col·laborant amb la comunitat de ciberseguretat per abordar les vulnerabilitats i protegir els usuaris de les amenaces en evolució.