Porte dérobée SpectralBlur

Les experts en cybersécurité ont découvert une nouvelle porte dérobée Apple macOS nommée SpectralBlur. Cette porte dérobée présente des similitudes avec une lignée de logiciels malveillants reconnue liée aux auteurs de menaces nord-coréens.

SpectralBlur est une porte dérobée raisonnablement compétente avec la possibilité de télécharger et de télécharger des fichiers, d'exécuter des commandes shell, de modifier sa configuration, d'effacer des fichiers, ainsi que d'entrer en mode hibernation ou veille. La particularité de ce malware réside dans ses efforts pour empêcher l’analyse et échapper à la détection. Il y parvient en utilisant la fonction grantpt pour établir un pseudo-terminal, à travers lequel il exécute les commandes shell reçues du serveur Command-and-Control (C2).

Similitudes entre SpectralBlur et d'autres logiciels malveillants macOS

Le malware SpectralBlur présente des ressemblances avec KANDYKORN (également connu sous le nom de SockRacket), un implant avancé fonctionnant comme un cheval de Troie d'accès à distance conçu pour prendre le contrôle des hôtes compromis. Notamment, les activités de KANDYKORN recoupent une autre campagne menée par le sous-groupe Lazarus BlueNoroff (également identifié comme TA444). Cette campagne implique le déploiement d'une porte dérobée connue sous le nom de RustBucket et d'une charge utile de stade avancé appelée ObjCShellz .

Dans des observations récentes, l’acteur menaçant a combiné des éléments de ces deux chaînes d’infection. Plus précisément, ils utilisent des compte-gouttes RustBucket pour livrer KANDYKORN. Cette convergence soulève la possibilité que différents développeurs aient construit KANDYKORN et SpectralBlur avec des exigences similaires à l'esprit, compte tenu de leurs similitudes fonctionnelles.

Les cybercriminels continuent de se concentrer de plus en plus sur les appareils macOS

Les groupes de cybercriminels concentrent de plus en plus leurs efforts sur le ciblage des appareils macOS avec des logiciels malveillants, reflétant une tendance croissante à diversifier leurs vecteurs d'attaque pour exploiter les vulnérabilités du système d'exploitation d'Apple. Plusieurs facteurs contribuent à ce changement d’orientation :

• Croissance de la part de marché : alors que la popularité des appareils macOS, tels que les ordinateurs portables MacBook et les ordinateurs de bureau iMac, continue d'augmenter, les cybercriminels considèrent une base d'utilisateurs croissante comme une cible attrayante. À mesure que de plus en plus de particuliers et d’entreprises adoptent les produits Apple, l’impact potentiel des logiciels malveillants spécifiques à macOS devient plus important.
• Sécurité perçue : Historiquement, macOS a été considéré comme plus sûr que les autres systèmes d'exploitation, tels que Windows. Cependant, cette perception a conduit à un sentiment de complaisance chez certains utilisateurs de macOS, ce qui en fait des cibles potentiellement plus faciles. Les cybercriminels exploitent l’idée fausse selon laquelle les appareils Apple sont immunisés contre les logiciels malveillants, exploitant ainsi les éventuelles failles de sécurité.
• Menaces persistantes avancées (APT) : les acteurs étatiques et les groupes de piratage sophistiqués recourent de plus en plus à des tactiques avancées pour infiltrer les environnements macOS. Ces acteurs malveillants développent souvent des logiciels malveillants personnalisés spécifiquement adaptés à macOS, en se concentrant sur les techniques de furtivité, de persistance et d’évasion pour rester indétectables pendant de longues périodes.
• Attaques multiplateformes : certains cybercriminels ont adopté des stratégies multiplateformes, développant des logiciels malveillants pouvant cibler à la fois les systèmes macOS et Windows. Cette approche leur permet de maximiser l'impact de leurs campagnes en exploitant les vulnérabilités de divers systèmes d'exploitation au sein d'un réseau cible.
• Motivation économique : les utilisateurs de macOS étant souvent associés à des statuts socio-économiques plus élevés, les cybercriminels peuvent les considérer comme des cibles plus lucratives. Les fraudes financières, les attaques de ransomware et d’autres formes de cybercriminalité peuvent générer des rendements plus élevés lorsqu’elles sont dirigées contre des individus ou des organisations utilisant des appareils Apple.
• Exploiter les faiblesses de l'écosystème Apple : la nature interconnectée de l'écosystème Apple, y compris iCloud et d'autres services, offre aux cybercriminels la possibilité d'exploiter les faiblesses. La compromission d’un appareil peut potentiellement conduire à un accès non autorisé à d’autres appareils liés et à des informations sensibles.
• Magasins d'applications et téléchargements tiers : les utilisateurs qui téléchargent des applications à partir de magasins d'applications non contrôlés ou de sources non autorisées peuvent s'exposer par inadvertance à des logiciels malveillants. Les cybercriminels déguisent souvent les logiciels malveillants en applications légitimes, exploitant les utilisateurs qui recherchent des logiciels en dehors de l'App Store officiel d'Apple.

Pour contrer cette menace croissante, les utilisateurs de macOS doivent donner la priorité aux meilleures pratiques de sécurité, telles que maintenir leurs systèmes d'exploitation et programmes à jour, utiliser des logiciels de sécurité réputés, éviter les téléchargements suspects et rester vigilants contre les tentatives de phishing. De plus, Apple continue d'améliorer ses fonctionnalités de sécurité et de collaborer avec la communauté de la cybersécurité pour remédier aux vulnérabilités et protéger les utilisateurs contre l'évolution des menaces.