Novo malware para MacOS identificado como backdoor norte-coreano

O investigador da ProofPoint Greg Lesnewich publicou, a 3 de janeiro, detalhes sobre o SpectralBlur, um novo backdoor para MacOS que parece estar conectado a um malware norte-coreano utilizado no último ano com o objetivo de atacar engenheiros especializados em blockchain. Patrick Wardle, da Objective-See, conduziu uma investigação ao sample do SpectralBlur e publicou as suas conclusões a 4 de janeiro.

O SpectralBlur conta com várias funcionalidades habituais de um malware backdoor, como a capacidade para fazer upload, download e apagar ficheiros, correr shells e atualizar a configuração. Realiza tarefas através de comandos de um servidor command-and-control remoto e as comunicações com o servidor são encriptadas com Rivest Cipher 4.

Lesnewich utilizou o serviço retrohunting da VirusTotal para procurar strings similares noutros samples de malware e identificou semelhanças entre o SpectralBlur e o KANDYKORN, atribuído ao Lazarus Group, afirmando que os dois “parecem famílias diferentes por pessoas diferentes com o mesmo tipo de requisitos”. O KANDYKORN foi identificado em novembro de 2023 e procurou atacar, principalmente, engenheiros de blockchain.