Cyberthreat.id - Peneliti keamanan siber telah menemukan pintu belakang macOS Apple terbaru yang disebut SpectralBlur yang tumpang tindih dengan keluarga malware terkenal yang dikaitkan dengan pelaku ancaman Korea Utara.

“SpectralBlur adalah pintu belakang berkemampuan sedang yang dapat mengunggah/mengunduh file, menjalankan shell, memperbarui konfigurasinya, menghapus file, hibernasi, atau tidur, berdasarkan perintah yang dikeluarkan dari [server perintah dan kontrol],” kata peneliti keamanan Greg Lesnewich kepada The Hacker News.

Malware ini memiliki kesamaan dengan KANDYKORN (alias SockRacket), sebuah implan canggih yang berfungsi sebagai trojan akses jarak jauh yang mampu mengambil kendali dari host yang disusupi.

Perlu dicatat bahwa aktivitas KANDYKORN juga bersinggungan dengan kampanye lain yang diatur oleh subkelompok Lazarus yang dikenal sebagai BlueNoroff (alias TA444) yang berpuncak pada penerapan pintu belakang yang disebut RustBucket dan muatan tahap akhir yang dijuluki ObjCShellz.

Dalam beberapa bulan terakhir, pelaku ancaman telah diamati menggabungkan bagian-bagian berbeda dari dua rantai infeksi ini, memanfaatkan dropper RustBucket untuk mengirimkan KANDYKORN.

Temuan terbaru ini merupakan tanda lain bahwa pelaku ancaman di Korea Utara semakin mengarahkan perhatian mereka pada macOS untuk menyusup ke target bernilai tinggi, khususnya yang berada dalam industri mata uang kripto dan blockchain.

“TA444 terus berjalan cepat dan ganas dengan keluarga malware macOS baru ini,” kata Lesnewich.

Peneliti keamanan Patrick Wardle, yang berbagi wawasan tambahan tentang cara kerja SpectralBlur, mengatakan biner Mach-O diunggah ke layanan pemindaian malware VirusTotal pada Agustus 2023 dari Kolombia.

Kesamaan fungsional antara KANDYKORN dan SpectralBlur telah meningkatkan kemungkinan bahwa keduanya dibuat oleh pengembang berbeda dengan mempertimbangkan persyaratan yang sama.

Apa yang membuat malware ini menonjol adalah upayanya untuk menghalangi analisis dan menghindari deteksi saat menggunakan grantpt untuk menyiapkan terminal semu dan menjalankan perintah shell yang diterima dari server C2.

Pengungkapan ini terjadi ketika total 21 keluarga malware baru yang dirancang untuk menargetkan sistem macOS, termasuk ransomware, pencuri informasi, trojan akses jarak jauh, dan malware yang didukung negara, ditemukan pada tahun 2023, naik dari 13 keluarga yang teridentifikasi pada tahun 2022.

“Dengan pertumbuhan dan popularitas macOS yang berkelanjutan (terutama di kalangan perusahaan!), tahun 2024 pasti akan membawa banyak malware macOS baru,” kata Wardle.[]