Malware per Mac TodoSwift

Entro Mezo nel Malware, Minaccia persistente avanzata (APT)

Traduci in:

I ricercatori di sicurezza informatica hanno scoperto un nuovo ceppo del malware per macOS chiamato TodoSwift, che presenta alcune caratteristiche in comune con malware noti associati a gruppi di hacker nordcoreani.

Questa applicazione mostra diversi comportamenti simili a malware precedentemente attribuiti alla Corea del Nord (DPRK), in particolare al gruppo di minacce BlueNoroff, associato a malware come KANDYKORN e RustBucke . RustBucket, segnalato per la prima volta a luglio 2023, è una backdoor basata su AppleScript progettata per recuperare payload aggiuntivi da un server Command-and-Control (C2).

Sommario

Minacce malware legate alla Corea del Nord

Verso la fine dell'anno scorso, i ricercatori hanno scoperto un altro malware per macOS, noto come KANDYKORN, che è stato utilizzato in un attacco informatico mirato agli ingegneri blockchain di un exchange di criptovalute senza nome.

KANDYKORN viene distribuito tramite una complessa catena di infezione multi-fase ed è equipaggiato per accedere ed esfiltrare dati dal computer della vittima. Inoltre, può terminare processi arbitrari ed eseguire comandi sul sistema host.

Una somiglianza fondamentale tra le due famiglie di malware è il loro utilizzo dei domini linkpc.net per le operazioni di comando e controllo (C2). Si ritiene che sia RustBucket che KANDYKORN siano opera del Lazarus Group , incluso il suo sotto-cluster noto come BlueNoroff.

La Corea del Nord, attraverso gruppi come il Lazarus Group, continua a prendere di mira le aziende del settore delle criptovalute con l'obiettivo di ricavarne denaro per aggirare le sanzioni internazionali che ne limitano la crescita economica e le ambizioni.

Catena di attacchi TodoSwift

Nell'attacco TodoSwift, gli autori della minaccia hanno preso di mira gli ingegneri blockchain su un server di chat pubblico con un'esca adattata alle loro competenze e ai loro interessi, promettendo ricompense finanziarie.

Recenti scoperte rivelano che TodoSwift è distribuito come un file firmato denominato TodoTasks, che contiene un componente dropper. Questo componente è un'applicazione GUI creata con SwiftUI, progettata per presentare un documento PDF armato alla vittima mentre scarica segretamente ed esegue un binario di seconda fase, una tecnica utilizzata anche da RustBucket.

L'esca PDF è un documento benigno relativo a Bitcoin ospitato su Google Drive, mentre il payload minaccioso viene recuperato da un dominio controllato dall'autore, "buy2x.com". Questo payload è concepito per raccogliere informazioni di sistema e distribuire malware aggiuntivo.

Una volta installato, il malware può raccogliere dettagli sul dispositivo, come la versione del sistema operativo e il modello hardware, comunicare con il server Command-and-Control (C2) tramite API e scrivere dati su un file eseguibile sul dispositivo. L'uso di un URL di Google Drive per l'esca e il passaggio dell'URL C2 come argomento di avvio al binario di seconda fase si allineano con le tattiche viste nei precedenti malware DPRK che prendevano di mira i sistemi macOS.