- Mã độc backdoor mới trên Apple macOS, được đặt tên là SpectralBlur, đã được các chuyên gia bảo mật phát hiện. Mã độc này có khả năng tải lên/tải xuống file, thực thi shell, cập nhật cấu hình, xóa file và chuyển sang trạng thái ngủ đông thông qua các lệnh từ máy chủ C&C.

SpectralBlur nổi bật với đặc điểm giống với KANDYKORN (hoặc SockRacket), một loại trojan truy cập từ xa (RAT) có khả năng điều khiển hệ thống từ xa với khả năng chiếm quyền kiểm soát các hệ thống bị ảnh hưởng. Hơn nữa, hoạt động của KANDYKORN liên quan đến một chiến dịch của nhóm BlueNoroff (hay TA444), một phần của nhóm APT Lazarus, với mục tiêu triển khai backdoor RustBucket và payload cuối cùng mang tên ObjCShellz.

Gần đây, các chuyên gia bảo mật đã ghi nhận việc đối tượng tấn công tích hợp các thành phần của KANDYKORN và RustBucket để lan truyền mã độc. Những phát hiện mới nhất chỉ ra rằng các đối tượng Triều Tiên đang tăng cường chiến lược tấn công, đặc biệt là đối với các hệ thống liên quan đến lĩnh vực tiền ảo và blockchain trên macOS.

Sự tương đồng giữa chức năng của KANDYKORN và SpectralBlur cho thấy rằng hai mã độc này có thể được phát triển bởi các lập trình viên khác nhau nhưng có cùng mục tiêu chung. Điểm nổi bật của SpectralBlur là khả năng gây gián đoạn cho quá trình phân tích và tránh bị phát hiện bằng cách sử dụng grantpt để thiết lập một terminal giả mạo và thực thi các lệnh shell từ máy chủ C&C.

Thông tin về mã độc này được tiết lộ sau khi phát hiện 21 chủng mã độc mới nhắm vào macOS trong năm 2023, bao gồm ransomware, mã độc đánh cắp thông tin, mã độc RAT và các mã độc được hậu thuẫn bởi chính quyền. Số liệu này tăng so với 13 chủng mã độc được phát hiện trong năm 2022. Dự đoán từ chuyên gia cho thấy sự phát triển và phổ biến của macOS trong doanh nghiệp có thể dẫn đến xuất hiện nhiều mã độc mới trên hệ điều hành này trong năm 2024.

PV