Programa malicioso ObjCShellz
BlueNoroff, un grupo de estados-nación con vínculos con Corea del Norte, ahora está asociado con una cepa de malware para macOS conocida como ObjCShellz, que anteriormente no estaba documentada. Esta amenaza es un actor fundamental en la campaña de malware RustBucket, que surgió por primera vez a principios de 2023.
Al examinar las actividades pasadas de BlueNoroff, los investigadores creen que ObjCShellz funciona como un componente de última etapa en un sistema de malware de múltiples etapas entregado mediante tácticas de ingeniería social. BlueNoroff, también conocido por varios alias como APT38, Nickel Gladstone, Sapphire Sleet, Stardust Chollima y TA444, opera como un subconjunto del infame Lazarus Group . Especializado en delitos financieros, este grupo de piratas informáticos se dirige a los bancos y al sector criptográfico, con el objetivo de eludir las sanciones y generar ganancias ilícitas para el régimen.
Tabla de contenido
El grupo Lazarus APT sigue siendo un actor activo en amenazas de delitos cibernéticos
El descubrimiento de ObjCShellz se produce poco después de los informes de que APT (Advanced Persistent Threat) Lazarus Group empleaba un nuevo malware para macOS llamado KANDYKORN para atacar a los ingenieros de blockchain. Otro malware de macOS asociado con este actor de amenazas es RustBucket , caracterizado como una puerta trasera basada en AppleScript diseñada para recuperar una carga útil de segunda etapa de un servidor controlado por el atacante.
Estos ataques siguen un patrón en el que los objetivos potenciales son atraídos con la promesa de asesoramiento sobre inversiones o una oportunidad laboral. Sin embargo, la verdadera intención es iniciar el proceso de infección mediante el uso de un documento señuelo.
El malware ObjCShellz es simple pero efectivo
Este malware, denominado ObjCShellz debido a que fue creado en Objective-C, sirve como un shell remoto sencillo. Ejecuta comandos de shell recibidos del servidor del atacante.
Los investigadores carecen de información específica sobre los objetivos oficiales de ObjCShellz. Sin embargo, teniendo en cuenta los ataques observados en 2023 y el nombre de dominio creado por los atacantes, es probable que el malware se haya utilizado contra una empresa asociada con la industria de las criptomonedas o estrechamente relacionada con ella.
Por el momento se desconoce el método preciso de acceso inicial para el ataque. Se sospecha que el malware se entrega como una carga útil posterior a la explotación, lo que permite la ejecución manual de comandos en la máquina comprometida. A pesar de su simplicidad, ObjCShellz demuestra ser muy funcional y ayuda a los atacantes a lograr sus objetivos.
Los investigadores advierten que los grupos de hackers relacionados con Corea del Norte están evolucionando
La revelación sobre ObjCShellz coincide con la transformación y reestructuración de grupos patrocinados por Corea del Norte como Lazarus. Estos grupos colaboran cada vez más para intercambiar herramientas y tácticas, creando un panorama borroso mientras persisten en crear malware personalizado tanto para Linux como para macOS.
Los expertos creen que las entidades que organizan las campañas, como 3CX y JumpCloud, participan activamente en el desarrollo y el intercambio de diversos conjuntos de herramientas. Esta colaboración sugiere que podrían estar en el horizonte campañas adicionales de malware para macOS que consistan en herramientas de malware mejoradas y más optimizadas.
