TodoSwift Mac Malware

Med Mezo i Malware, Advanced Persistent Threat (APT)

Oversæt til:

Cybersikkerhedsforskere har afsløret en ny stamme af macOS-malwaren kaldet TodoSwift, som deler egenskaber med kendt malware knyttet til nordkoreanske hackergrupper.

Denne applikation udviser adskillige adfærd, der ligner malware, der tidligere blev tilskrevet Nordkorea (DPRK), især trusselsgruppen BlueNoroff, som er forbundet med malware som KANDYKORN og RustBucke . RustBucket, som først blev rapporteret i juli 2023, er en AppleScript-baseret bagdør designet til at hente yderligere nyttelast fra en Command-and-Control-server (C2).

Indholdsfortegnelse

Nordkoreansk-forbundne malware-trusler

I slutningen af sidste år opdagede forskere en anden macOS-malware kendt som KANDYKORN, som blev brugt i et cyberangreb rettet mod blockchain-ingeniører på en unavngiven cryptocurrency-børs.

KANDYKORN leveres gennem en kompleks flertrins infektionskæde og er udstyret til at få adgang til og eksfiltrere data fra ofrets computer. Derudover kan den afslutte vilkårlige processer og udføre kommandoer på værtssystemet.

En vigtig lighed mellem de to malware-familier er deres brug af linkpc.net-domæner til Command-and Control-operationer (C2). Både RustBucket og KANDYKORN menes at være arbejdet i Lazarus Group , inklusive dens underklynge kendt som BlueNoroff.

Nordkorea, gennem grupper som Lazarus Group, fortsætter med at målrette virksomheder i kryptovalutaindustrien med det formål at høste kryptovaluta for at omgå internationale sanktioner, der begrænser deres økonomiske vækst og ambitioner.

TodoSwift Attack Chain

I TodoSwift-angrebet målrettede trusselsaktørerne blockchain-ingeniører på en offentlig chatserver med et lokkemiddel, der var skræddersyet til deres færdigheder og interesser, og lovede økonomiske belønninger.

Nylige resultater afslører, at TodoSwift distribueres som en signeret fil ved navn TodoTasks, som indeholder en dropper-komponent. Denne komponent er en GUI-applikation bygget med SwiftUI, designet til at præsentere et bevæbnet PDF-dokument for offeret, mens det hemmeligt downloader og udfører en anden fase binær, en teknik også brugt af RustBucket.

PDF-lokket er et godartet Bitcoin-relateret dokument, der hostes på Google Drev, mens den truende nyttelast hentes fra et aktørkontrolleret domæne, 'buy2x.com'. Denne nyttelast er lavet til at indsamle systemoplysninger og implementere yderligere malware.

Når den er installeret, kan malwaren indsamle detaljer om enheden, såsom OS-versionen og hardwaremodellen, kommunikere med Command-and-Control-serveren (C2) via API og skrive data til en eksekverbar fil på enheden. Brugen af en Google Drev-URL til lokket og videregivelse af C2-URL'en som et lanceringsargument til anden trins binær, stemmer overens med taktik set i tidligere DPRK-malware rettet mod macOS-systemer.