टोडोस्विफ्ट मैक मैलवेयर
साइबर सुरक्षा शोधकर्ताओं ने टोडोस्विफ्ट नामक मैकओएस मैलवेयर के एक नए प्रकार का पता लगाया है, जो उत्तर कोरियाई हैकिंग समूहों से जुड़े ज्ञात मैलवेयर के समान विशेषताएं रखता है।
यह एप्लिकेशन मैलवेयर के समान कई व्यवहार प्रदर्शित करता है, जिन्हें पहले उत्तर कोरिया (DPRK) के लिए जिम्मेदार ठहराया गया था, विशेष रूप से ब्लूनोरॉफ़ खतरा समूह, जो KANDYKORN और RustBucke जैसे मैलवेयर से जुड़ा हुआ है। RustBucket, जिसे पहली बार जुलाई 2023 में रिपोर्ट किया गया था, एक AppleScript-आधारित बैकडोर है जिसे कमांड-एंड-कंट्रोल (C2) सर्वर से अतिरिक्त पेलोड प्राप्त करने के लिए डिज़ाइन किया गया है।
विषयसूची
उत्तर कोरिया से जुड़े मैलवेयर के खतरे
पिछले वर्ष के अंत में, शोधकर्ताओं ने KANDYKORN नामक एक अन्य macOS मैलवेयर की खोज की थी, जिसका उपयोग एक अनाम क्रिप्टोकरेंसी एक्सचेंज में ब्लॉकचेन इंजीनियरों को लक्षित करके साइबर हमले में किया गया था।
कैंडीकॉर्न को एक जटिल बहु-चरणीय संक्रमण श्रृंखला के माध्यम से वितरित किया जाता है और यह पीड़ित के कंप्यूटर से डेटा तक पहुँचने और उसे बाहर निकालने में सक्षम है। इसके अतिरिक्त, यह मनमाने ढंग से प्रक्रियाओं को समाप्त कर सकता है और होस्ट सिस्टम पर कमांड निष्पादित कर सकता है।
दोनों मैलवेयर परिवारों के बीच एक मुख्य समानता यह है कि वे कमांड-एंड कंट्रोल (C2) संचालन के लिए linkpc.net डोमेन का उपयोग करते हैं। माना जाता है कि रस्टबकेट और कैंडीकॉर्न दोनों ही लाज़ारस ग्रुप का काम हैं, जिसमें ब्लूनोरॉफ़ के नाम से जाना जाने वाला उसका उप-क्लस्टर भी शामिल है।
उत्तर कोरिया, लाजरस ग्रुप जैसे समूहों के माध्यम से, क्रिप्टोकरेंसी उद्योग में व्यवसायों को निशाना बनाना जारी रखे हुए है, जिसका उद्देश्य क्रिप्टोकरेंसी का दोहन करना है, ताकि उन अंतर्राष्ट्रीय प्रतिबंधों को दरकिनार किया जा सके जो उनके आर्थिक विकास और महत्वाकांक्षाओं को प्रतिबंधित करते हैं।
टोडोस्विफ्ट अटैक चेन
टोडोस्विफ्ट हमले में, धमकी देने वाले अभिनेताओं ने सार्वजनिक चैट सर्वर पर ब्लॉकचेन इंजीनियरों को उनके कौशल और रुचियों के अनुरूप लालच देकर, वित्तीय पुरस्कार का वादा करके निशाना बनाया।
हाल ही में किए गए निष्कर्षों से पता चलता है कि टोडोस्विफ्ट को टोडोटास्क नामक एक हस्ताक्षरित फ़ाइल के रूप में वितरित किया जाता है, जिसमें एक ड्रॉपर घटक होता है। यह घटक स्विफ्टयूआई के साथ बनाया गया एक GUI अनुप्रयोग है, जिसे पीड़ित को एक हथियारबंद पीडीएफ दस्तावेज़ प्रस्तुत करने के लिए डिज़ाइन किया गया है, जबकि गुप्त रूप से दूसरे चरण के बाइनरी को डाउनलोड और निष्पादित किया जाता है, एक तकनीक जिसका उपयोग रस्टबकेट द्वारा भी किया जाता है।
पीडीएफ लालच एक सौम्य बिटकॉइन-संबंधी दस्तावेज है, जो गूगल ड्राइव पर होस्ट किया गया है, जबकि धमकी भरा पेलोड एक अभिनेता-नियंत्रित डोमेन, 'buy2x.com' से प्राप्त किया गया है। यह पेलोड सिस्टम जानकारी एकत्र करने और अतिरिक्त मैलवेयर तैनात करने के लिए तैयार किया गया है।
एक बार इंस्टॉल हो जाने के बाद, मैलवेयर डिवाइस के बारे में विवरण एकत्र कर सकता है, जैसे कि ओएस संस्करण और हार्डवेयर मॉडल, एपीआई के माध्यम से कमांड-एंड-कंट्रोल (सी2) सर्वर से संचार कर सकता है, और डिवाइस पर एक निष्पादन योग्य फ़ाइल में डेटा लिख सकता है। लुभाने के लिए Google ड्राइव URL का उपयोग और दूसरे चरण के बाइनरी में लॉन्च तर्क के रूप में C2 URL को पास करना macOS सिस्टम को लक्षित करने वाले पिछले DPRK मैलवेयर में देखी गई रणनीति के अनुरूप है।
टोडोस्विफ्ट मैक मैलवेयर वीडियो
युक्ति: अपनी ध्वनि चालू करें और वीडियो को पूर्ण स्क्रीन मोड में देखें ।
