Programari maliciós TodoSwift Mac

El Mezo el Programari maliciós, Amenaça persistent avançada (APT)

Traduir a:

Els investigadors de ciberseguretat han descobert una nova varietat de programari maliciós macOS anomenada TodoSwift, que comparteix característiques amb programari maliciós conegut vinculat a grups de pirateria de Corea del Nord.

Aquesta aplicació presenta diversos comportaments similars al programari maliciós atribuït anteriorment a Corea del Nord (RPDC), especialment el grup d'amenaces BlueNoroff, que està associat amb programari maliciós com KANDYKORN i RustBucke . RustBucket, que es va informar per primera vegada el juliol de 2023, és una porta posterior basada en AppleScript dissenyada per recuperar càrregues útils addicionals d'un servidor de comandament i control (C2).

Taula de continguts

Amenaces de programari maliciós vinculades a Corea del Nord

A finals de l'any passat, els investigadors van descobrir un altre programari maliciós de macOS conegut com a KANDYKORN, que es va utilitzar en un ciberatac dirigit als enginyers de blockchain en un intercanvi de criptomonedes sense nom.

KANDYKORN es lliura a través d'una complexa cadena d'infecció de diverses etapes i està equipat per accedir i exfiltrar dades de l'ordinador de la víctima. A més, pot finalitzar processos arbitraris i executar ordres al sistema amfitrió.

Una similitud clau entre les dues famílies de programari maliciós és el seu ús dels dominis linkpc.net per a operacions de comandament i control (C2). Es creu que tant RustBucket com KANDYKORN són obra del Grup Lazarus , inclòs el seu subclúster conegut com a BlueNoroff.

Corea del Nord, a través de grups com el Grup Lazarus, continua orientant-se a les empreses de la indústria de la criptomoneda amb l'objectiu de recollir criptomoneda per evitar les sancions internacionals que restringeixen el seu creixement econòmic i les seves ambicions.

Cadena d'atac TodoSwift

En l'atac de TodoSwift, els actors de l'amenaça van apuntar als enginyers de blockchain en un servidor de xat públic amb un atractiu adaptat a les seves habilitats i interessos, prometent recompenses financeres.

Les troballes recents revelen que TodoSwift es distribueix com un fitxer signat anomenat TodoTasks, que conté un component de comptagotes. Aquest component és una aplicació GUI creada amb SwiftUI, dissenyada per presentar un document PDF armat a la víctima mentre descarrega i executa en secret un binari de segona etapa, una tècnica que també utilitza RustBucket.

L'atractiu PDF és un document benigne relacionat amb Bitcoin allotjat a Google Drive, mentre que la càrrega útil amenaçadora es recupera d'un domini controlat per l'actor, "buy2x.com". Aquesta càrrega útil està dissenyada per recopilar informació del sistema i desplegar programari maliciós addicional.

Un cop instal·lat, el programari maliciós pot recopilar detalls sobre el dispositiu, com ara la versió del sistema operatiu i el model de maquinari, comunicar-se amb el servidor Command-and-Control (C2) mitjançant l'API i escriure dades en un fitxer executable del dispositiu. L'ús d'un URL de Google Drive per a l'atracció i passar l'URL C2 com a argument de llançament al binari de la segona etapa s'alinea amb les tàctiques vistes en programari maliciós anterior de RPDC dirigit a sistemes macOS.