Cybersecurity-Forscher haben eine neue Apple macOS Backdoor entdeckt, die SpectralBlur genannt wurde und mit einer bekannten Malware-Familie überlappt, die nordkoreanischen Bedrohungsakteuren zugeschrieben wurde. SpectralBlur ist eine mittelmäßig leistungsfähige Backdoor, die Dateien hochladen/herunterladen, eine Shell ausführen, ihre Konfiguration aktualisieren, Dateien löschen, in den Ruhezustand versetzen oder schlafen kann, basierend auf Befehlen, die vom Command-and-Control-Server aus gegeben wurden. Die Malware weist Ähnlichkeiten mit KANDYKORN auf, einem fortschrittlichen Implantat, das als Remote-Zugriffstrojaner fungiert und die Kontrolle über einen kompromittierten Host übernehmen kann.
Es ist erwähnenswert, dass die KANDYKORN-Aktivität auch mit einer anderen Kampagne des Untergruppenmitglieds Lazarus, bekannt als BlueNoroff (auch TA444 genannt), überschneidet. In den letzten Monaten wurde beobachtet, dass die Bedrohungsakteure RustBucket-Dropper verwenden, um KANDYKORN zu liefern. Diese Funde sind ein weiteres Zeichen dafür, dass nordkoreanische Bedrohungsakteure macOS zunehmend ins Visier nehmen, insbesondere hochwertige Ziele in den Bereichen Kryptowährung und Blockchain.
Die Malware SpectralBlur hebt sich durch ihre Versuche hervor, die Analyse zu erschweren und die Erkennung zu umgehen, während sie grantpt verwendet, um ein Pseudoterminal einzurichten und Shell-Befehle auszuführen, die vom C2-Server empfangen wurden. Im Jahr 2023 wurden insgesamt 21 neue Malware-Familien entdeckt, die darauf abzielen, macOS-Systeme anzugreifen, darunter Ransomware, Information-Stealer, Remote-Zugriffstrojaner und nationenunterstützte Malware, im Vergleich zu 13 im Jahr 2022. Forscher Patrick Wardle merkt an, dass aufgrund des anhaltenden Wachstums und der Beliebtheit von macOS (vornehmlich in Unternehmen!) im Jahr 2024 sicherlich eine Vielzahl neuer macOS-Malware zu erwarten ist.