En el mundo siempre cambiante de la ciberseguridad, la amenaza de los ataques de malware es una preocupación constante. Recientemente, un nuevo desarrollo ha capturado la atención de expertos y usuarios por igual: el grupo de ciberdelincuentes BlueNoroff, respaldado por Corea del Norte, ha introducido un nuevo y sofisticado malware denominado ObjCShellz, dirigido específicamente a los usuarios de macOS de Apple. En este artículo examina en profundidad la naturaleza de este malware, sus implicaciones y cómo los usuarios pueden protegerse.
BlueNoroff es un notorio grupo de hackers con una agenda financiera, conocido por atacar a bancos, intercambios de criptomonedas y otras instituciones financieras a nivel mundial. Recientemente, han ampliado su alcance con el desarrollo de ObjCShellz, un malware dirigido a los sistemas operativos macOS. ObjCShellz es único en su habilidad para abrir terminales remotos en dispositivos comprometidos, lo que representa una seria amenaza para la seguridad y privacidad de los usuarios.
Te podría interesar leer: Análisis de Malware con Wazuh
Según los expertos en malware de Jamf, la carga útil maliciosa que han identificado, llamada ProcessRequest, establece comunicación con el dominio swissborg[.]blog. Este dominio, registrado el 31 de mayo y alojado en la dirección IP 104.168.214[.]151, es parte de la infraestructura de BlueNoroff y simula ser un sitio web legítimo de intercambio de criptomonedas, imitando a swissborg.com/blog. Para evitar ser detectados, los datos enviados a este servidor se fragmentan y luego se reconstruyen.
"Este dominio es típico de las tácticas que hemos observado de BlueNoroff en lo que Jamf Threat Labs denomina la campaña Rustbucket", explican los expertos en seguridad. "En esta campaña, los atacantes se acercan a sus objetivos pretendiendo ser inversores o cazatalentos interesados en colaboraciones beneficiosas, a menudo creando dominios que imitan a empresas criptográficas legítimas para pasar desapercibidos".
Podría interesarte leer: ManageEngine Endpoint Central: Protección Garantizada
ObjCShellz representa un giro en la táctica de malware por parte de BlueNoroff, diferenciándose de sus anteriores cargas maliciosas. Este programa, basado en Objective-C, está diseñado para infiltrarse en sistemas macOS y abrir terminales remotos, incluso después de ser insertado por un método de acceso inicial aún no identificado.
Los cibercriminales han explotado este malware en fases avanzadas de sus ataques, utilizando estos terminales para ejecutar comandos en Macs infectados, tanto con procesadores Intel como Arm.
"A pesar de su aparente simplicidad, este malware es muy efectivo y cumple eficientemente los objetivos de los atacantes. Esta efectividad se ha convertido en una característica común en las últimas muestras de malware de este grupo APT", explicó Jamf.
Los expertos en seguridad, basándose en patrones observados en ataques anteriores de BlueNoroff, creen que ObjCShellz podría ser una fase avanzada de un ataque de malware multifacético, probablemente distribuido a través de tácticas de ingeniería social.
El año pasado, investigadores de Kaspersky establecieron una conexión entre BlueNoroff y una serie de ataques cibernéticos dirigidos a startups de criptomonedas en varios países, incluyendo Estados Unidos, Rusia, China, India, Reino Unido, Ucrania, Polonia, República Checa, Emiratos Árabes Unidos, Singapur, Estonia, Vietnam, Malta, Alemania y Hong Kong.
Te podrá interesar leer: Ataques de Cryptojacking: Protección de Recursos
En 2019, el Departamento del Tesoro de EE. UU. impuso sanciones a BlueNoroff, junto con otros dos grupos de ciberdelincuentes norcoreanos (Lazarus Group y Andariel), por su papel en desviar activos financieros robados al régimen de Corea del Norte.
De acuerdo con un informe de la ONU de hace cuatro años, estos ciberatacantes estatales de Corea del Norte habían perpetrado alrededor de 35 ataques cibernéticos contra bancos e intercambios de criptomonedas en más de doce países, sustrayendo aproximadamente 2 mil millones de dólares.
Además, el FBI identificó a los grupos Lazarus y BlueNoroff como responsables del mayor robo de criptomonedas registrado hasta la fecha: el asalto al puente de red Ronin de Axie Infinity. En este ataque, los hackers se apropiaron de 173.600 tokens de Ethereum y 25.5 millones de USDC, cuyo valor en ese momento ascendía a más de 617 millones de dólares.
El caso de ObjCShellz es un recordatorio de que las amenazas cibernéticas están en constante evolución. Los grupos de hackers como BlueNoroff continuamente desarrollan nuevas técnicas y estrategias para infiltrarse en sistemas y robar información valiosa. Esto significa que la comunidad de ciberseguridad y los usuarios deben permanecer vigilantes y adaptarse continuamente a las nuevas amenazas.
La introducción de ObjCShellz por parte del grupo BlueNoroff es un desarrollo significativo en el panorama de la ciberseguridad, especialmente para los usuarios de macOS. Este malware subraya la necesidad de una mayor conciencia y precaución en lo que respecta a la seguridad cibernética. Al mantenerse informados, actualizar regularmente los sistemas y practicar buenos hábitos de seguridad digital, los usuarios pueden reducir significativamente su riesgo de ser víctimas de estos ataques sofisticados.