Jamf Threat Labs ha descubierto una nueva variante de malware de última etapa de BlueNoroff que comparte características con su campaña RustBucket.
Jamf Threat Labs dice que las campañas de BlueNoroff tienen motivaciones financieras y con frecuencia apuntan a intercambios de criptomonedas, empresas de capital de riesgo y bancos.
El grupo de estados-nación vinculado a Corea del Norte llamado BlueNoroff ha sido atribuido a una cepa de malware macOS previamente indocumentada denominada ObjCShellz .
Durante la búsqueda rutinaria de amenazas de los laboratorios, descubrieron un binario universal Mach-O que se comunicaba con un dominio que Jamf había clasificado previamente como malicioso. Este ejecutable no fue detectado en VirusTotal en el momento de su análisis.
El malware está escrito en Objective-C y funciona como un shell remoto muy simple que ejecuta comandos de shell enviados desde el servidor atacante. Aunque no está del todo claro cómo se logró el acceso inicial, es probable que este malware se esté utilizando en una etapa posterior para ejecutar comandos manualmente después de comprometer un sistema.
El investigador de seguridad Ferdous Saljooki en un informe compartido con The Hacker News, ha dicho:
«Basándonos en ataques anteriores realizados por BlueNoroff, sospechamos que este malware era una etapa tardía dentro de un malware de múltiples etapas entregado mediante ingeniería social»
A primera vista, este malware es muy diferente del malware RustBucket mencionado anteriormente que se ha utilizado en otros ataques, pero el objetivo del atacante en ambos casos parece ser proporcionar una capacidad de shell remoto simple.
BlueNoroff, también rastreado y registrado bajo los nombres APT38, Nickel Gladstone, Sapphire Sleet, Stardust Chollima y TA444, es un elemento subordinado del infame Lazarus Group que se especializa en delitos financieros, apuntando a los bancos y al sector criptográfico como una forma de evadir sanciones y generar ganancias ilícitas para el régimen.
El desarrollo llega días después de que Elastic Security Labs revelara el uso por parte de Lazarus Group de un nuevo malware para macOS llamado ‘Kandy Korn’ para atacar a los ingenieros de blockchain.
También vinculado al actor de la amenaza hay un malware para macOS conocido como RustBucket, una puerta trasera basada en AppleScript que está diseñada para recuperar una carga útil de segunda etapa de un servidor controlado por un atacante.
Lea el informe completo de Jamf Threat Labs aquí .