TodoSwift Mac Malware

Med Mezo i Skadelig programvare, Advanced Persistent Threat (APT)

Oversett til:

Cybersikkerhetsforskere har avdekket en ny stamme av macOS malware kalt TodoSwift, som deler egenskaper med kjent skadelig programvare knyttet til nordkoreanske hackergrupper.

Denne applikasjonen viser flere atferd som ligner på skadelig programvare som tidligere ble tilskrevet Nord-Korea (DPRK), spesielt trusselgruppen BlueNoroff, som er assosiert med skadelig programvare som KANDYKORN og RustBucke . RustBucket, først rapportert i juli 2023, er en AppleScript-basert bakdør designet for å hente ytterligere nyttelast fra en Command-and-Control-server (C2).

Innholdsfortegnelse

Nordkoreansk-tilknyttede trusler om skadelig programvare

Sent i fjor oppdaget forskere en annen macOS-skadevare kjent som KANDYKORN, som ble brukt i et cyberangrep rettet mot blokkjedeingeniører på en navngitt kryptovalutabørs.

KANDYKORN leveres gjennom en kompleks flertrinns infeksjonskjede og er utstyrt for å få tilgang til og eksfiltrere data fra offerets datamaskin. I tillegg kan den avslutte vilkårlige prosesser og utføre kommandoer på vertssystemet.

En viktig likhet mellom de to skadevarefamiliene er deres bruk av linkpc.net-domener for Command-and Control-operasjoner (C2). Både RustBucket og KANDYKORN antas å være arbeidet til Lazarus Group , inkludert dens underklynge kjent som BlueNoroff.

Nord-Korea, gjennom grupper som Lazarus Group, fortsetter å målrette mot virksomheter i kryptovalutaindustrien med sikte på å høste kryptovaluta for å omgå internasjonale sanksjoner som begrenser deres økonomiske vekst og ambisjoner.

TodoSwift angrepskjede

I TodoSwift-angrepet målrettet trusselaktørene blokkjedeingeniører på en offentlig chat-server med et lokkemiddel skreddersydd for deres ferdigheter og interesser, og lovet økonomiske belønninger.

Nylige funn viser at TodoSwift er distribuert som en signert fil kalt TodoTasks, som inneholder en dropper-komponent. Denne komponenten er en GUI-applikasjon bygget med SwiftUI, designet for å presentere et våpenbeskyttet PDF-dokument til offeret mens den i hemmelighet laster ned og utfører en andre-trinns binær, en teknikk som også brukes av RustBucket.

PDF-lokket er et godartet Bitcoin-relatert dokument som ligger på Google Disk, mens den truende nyttelasten hentes fra et aktørkontrollert domene, 'buy2x.com.' Denne nyttelasten er laget for å samle inn systeminformasjon og distribuere ytterligere skadelig programvare.

Når den er installert, kan skadelig programvare samle detaljer om enheten, for eksempel OS-versjonen og maskinvaremodellen, kommunisere med Command-and-Control-serveren (C2) via API og skrive data til en kjørbar fil på enheten. Bruken av en Google Disk-URL for lokkingen og å overføre C2-URL-en som et lanseringsargument til den andre-trinns binære filen stemmer overens med taktikken i tidligere DPRK-malware rettet mot macOS-systemer.