TodoSwift Mac البرامج الضارة
اكتشف باحثو الأمن السيبراني سلالة جديدة من البرامج الضارة التي تستهدف نظام التشغيل macOS تسمى TodoSwift، والتي تشترك في خصائص مع البرامج الضارة المعروفة المرتبطة بمجموعات القرصنة الكورية الشمالية.
يُظهر هذا التطبيق العديد من السلوكيات المشابهة للبرامج الضارة المنسوبة سابقًا إلى كوريا الشمالية (DPRK)، وخاصة مجموعة التهديد BlueNoroff، المرتبطة ببرامج ضارة مثل KANDYKORN و RustBucke . RustBucket، الذي تم الإبلاغ عنه لأول مرة في يوليو 2023، هو باب خلفي قائم على AppleScript مصمم لاسترداد حمولات إضافية من خادم Command and Control (C2).
جدول المحتويات
تهديدات البرامج الضارة المرتبطة بكوريا الشمالية
في أواخر العام الماضي، اكتشف الباحثون برنامجًا خبيثًا آخر لنظام التشغيل macOS يُعرف باسم KANDYKORN، والذي تم استخدامه في هجوم إلكتروني استهدف مهندسي blockchain في بورصة عملات مشفرة لم يتم الكشف عن اسمها.
يتم توصيل KANDYKORN من خلال سلسلة معقدة من العدوى متعددة المراحل وهو مجهز للوصول إلى البيانات واستخراجها من جهاز كمبيوتر الضحية. بالإضافة إلى ذلك، يمكنه إنهاء العمليات التعسفية وتنفيذ الأوامر على نظام المضيف.
إن التشابه الرئيسي بين عائلتي البرمجيات الخبيثة هو استخدامهما لنطاقات linkpc.net لعمليات القيادة والتحكم (C2). ويُعتقد أن كلاً من RustBucket وKANDYKORN من عمل مجموعة Lazarus Group ، بما في ذلك مجموعتها الفرعية المعروفة باسم BlueNoroff.
تستمر كوريا الشمالية، من خلال مجموعات مثل مجموعة لازاروس، في استهداف الشركات في صناعة العملات المشفرة بهدف حصاد العملات المشفرة لتجاوز العقوبات الدولية التي تقيد نموها الاقتصادي وطموحاتها.
سلسلة هجمات TodoSwift
في هجوم TodoSwift، استهدف الجناة مهندسي blockchain على خادم دردشة عام باستخدام إغراء مصمم خصيصًا لمهاراتهم واهتماماتهم، ووعد بمكافآت مالية.
تكشف النتائج الأخيرة أن TodoSwift يتم توزيعه كملف موقّع باسم TodoTasks، والذي يحتوي على مكون إسقاط. هذا المكون عبارة عن تطبيق واجهة مستخدم رسومية تم إنشاؤه باستخدام SwiftUI، وهو مصمم لتقديم مستند PDF مسلح للضحية أثناء تنزيل ملف ثنائي المرحلة الثانية وتنفيذه سراً، وهي تقنية تستخدمها RustBucket أيضًا.
إن ملف PDF الجذاب عبارة عن مستند حميد متعلق بعملة البيتكوين يتم استضافته على Google Drive، في حين يتم استرداد الحمولة المهددة من نطاق يتم التحكم فيه بواسطة جهة فاعلة، وهو "buy2x.com". تم تصميم هذه الحمولة لجمع معلومات النظام ونشر برامج ضارة إضافية.
بمجرد التثبيت، يمكن للبرامج الضارة جمع تفاصيل حول الجهاز، مثل إصدار نظام التشغيل وطراز الأجهزة، والتواصل مع خادم Command-and-Control (C2) عبر واجهة برمجة التطبيقات، وكتابة البيانات في ملف قابل للتنفيذ على الجهاز. يتماشى استخدام عنوان URL لـ Google Drive للإغراء وتمرير عنوان URL C2 كحجة تشغيل إلى الملف الثنائي للمرحلة الثانية مع التكتيكات التي شوهدت في برامج DPRK الضارة السابقة التي تستهدف أنظمة macOS.
TodoSwift Mac البرامج الضارة فيديو
نصيحة: تشغيل الصوت ON ومشاهدة الفيديو في وضع ملء الشاشة.
