TodoSwift Mac Malware
Οι ερευνητές στον τομέα της κυβερνοασφάλειας ανακάλυψαν ένα νέο στέλεχος του κακόβουλου λογισμικού macOS που ονομάζεται TodoSwift, το οποίο μοιράζεται χαρακτηριστικά με γνωστό κακόβουλο λογισμικό που συνδέεται με βορειοκορεατικές ομάδες χάκερ.
Αυτή η εφαρμογή παρουσιάζει αρκετές συμπεριφορές παρόμοιες με κακόβουλο λογισμικό που είχε αποδοθεί στο παρελθόν στη Βόρεια Κορέα (DPRK), ιδιαίτερα στην ομάδα απειλών BlueNoroff, η οποία σχετίζεται με κακόβουλο λογισμικό όπως το KANDYKORN και το RustBucke . Το RustBucket, το οποίο αναφέρθηκε για πρώτη φορά τον Ιούλιο του 2023, είναι μια κερκόπορτα που βασίζεται σε AppleScript που έχει σχεδιαστεί για την ανάκτηση πρόσθετων ωφέλιμων φορτίων από έναν διακομιστή Command-and-Control (C2).
Πίνακας περιεχομένων
Απειλές κακόβουλου λογισμικού που συνδέεται με τη Βόρεια Κορέα
Στα τέλη του περασμένου έτους, οι ερευνητές ανακάλυψαν ένα άλλο κακόβουλο λογισμικό macOS γνωστό ως KANDYKORN, το οποίο χρησιμοποιήθηκε σε μια επίθεση στον κυβερνοχώρο που στόχευε μηχανικούς blockchain σε ανώνυμο ανταλλακτήριο κρυπτονομισμάτων.
Το KANDYKORN παρέχεται μέσω μιας πολύπλοκης αλυσίδας μόλυνσης πολλαπλών σταδίων και είναι εξοπλισμένο για πρόσβαση και διήθηση δεδομένων από τον υπολογιστή του θύματος. Επιπλέον, μπορεί να τερματίσει αυθαίρετες διεργασίες και να εκτελέσει εντολές στο κεντρικό σύστημα.
Μια βασική ομοιότητα μεταξύ των δύο οικογενειών κακόβουλου λογισμικού είναι η χρήση τομέων linkpc.net για λειτουργίες Command-and Control (C2). Τόσο το RustBucket όσο και το KANDYKORN πιστεύεται ότι είναι έργο του Ομίλου Lazarus , συμπεριλαμβανομένου του υποσυστάδας του που είναι γνωστό ως BlueNoroff.
Η Βόρεια Κορέα, μέσω ομάδων όπως ο Όμιλος Lazarus, συνεχίζει να στοχεύει επιχειρήσεις στον κλάδο των κρυπτονομισμάτων με στόχο τη συλλογή κρυπτονομισμάτων για να παρακάμψει τις διεθνείς κυρώσεις που περιορίζουν την οικονομική ανάπτυξη και τις φιλοδοξίες τους.
TodoSwift Attack Chain
Στην επίθεση TodoSwift, οι παράγοντες απειλών στόχευσαν μηχανικούς blockchain σε έναν δημόσιο διακομιστή συνομιλίας με ένα δέλεαρ προσαρμοσμένο στις δεξιότητες και τα ενδιαφέροντά τους, υποσχόμενοι οικονομικές ανταμοιβές.
Πρόσφατα ευρήματα αποκαλύπτουν ότι το TodoSwift διανέμεται ως ένα υπογεγραμμένο αρχείο με το όνομα TodoTasks, το οποίο περιέχει ένα στοιχείο σταγονόμετρου. Αυτό το στοιχείο είναι μια εφαρμογή GUI που έχει κατασκευαστεί με SwiftUI, σχεδιασμένη για να παρουσιάζει ένα οπλισμένο έγγραφο PDF στο θύμα ενώ κατεβάζει και εκτελεί κρυφά ένα δυαδικό αρχείο δεύτερου σταδίου, μια τεχνική που χρησιμοποιείται επίσης από τον RustBucket.
Το PDF lure είναι ένα ευνοϊκό έγγραφο που σχετίζεται με το Bitcoin που φιλοξενείται στο Google Drive, ενώ το απειλητικό ωφέλιμο φορτίο ανακτάται από έναν τομέα που ελέγχεται από τους ηθοποιούς, «buy2x.com». Αυτό το ωφέλιμο φορτίο έχει δημιουργηθεί για τη συλλογή πληροφοριών συστήματος και την ανάπτυξη πρόσθετου κακόβουλου λογισμικού.
Μόλις εγκατασταθεί, το κακόβουλο λογισμικό μπορεί να συγκεντρώσει λεπτομέρειες σχετικά με τη συσκευή, όπως την έκδοση λειτουργικού συστήματος και το μοντέλο υλικού, να επικοινωνήσει με τον διακομιστή Command-and-Control (C2) μέσω API και να γράψει δεδομένα σε ένα εκτελέσιμο αρχείο στη συσκευή. Η χρήση μιας διεύθυνσης URL του Google Drive για το δέλεαρ και η μετάδοση της διεύθυνσης URL C2 ως όρισμα εκκίνησης στο δυαδικό αρχείο δεύτερου σταδίου ευθυγραμμίζεται με τις τακτικές που παρατηρήθηκαν σε προηγούμενα συστήματα κακόβουλου λογισμικού της ΛΔΚ που στόχευαν συστήματα macOS.
TodoSwift Mac Malware βίντεο
Συμβουλή: Ενεργοποιήστε τον ήχο σας και παρακολουθήστε το βίντεο σε λειτουργία πλήρους οθόνης .
