TodoSwift म्याक मालवेयर
साइबरसुरक्षा अनुसन्धानकर्ताहरूले टोडोस्विफ्ट भनिने macOS मालवेयरको नयाँ स्ट्रेन पत्ता लगाएका छन्, जसले उत्तर कोरियाली ह्याकिंग समूहहरूसँग सम्बन्धित ज्ञात मालवेयरसँग विशेषताहरू साझा गर्दछ।
यो एपले उत्तर कोरिया (DPRK) लाई पहिले नै श्रेय दिएको मालवेयर जस्तै धेरै व्यवहारहरू प्रदर्शन गर्दछ, विशेष गरी BlueNoroff खतरा समूह, जुन KANDYKORN र RustBucke जस्ता मालवेयरसँग सम्बन्धित छ। RustBucket, पहिलो पटक जुलाई 2023 मा रिपोर्ट गरिएको, AppleScript-आधारित ब्याकडोर हो जुन कमाण्ड-एन्ड-कन्ट्रोल (C2) सर्भरबाट थप पेलोडहरू पुन: प्राप्त गर्न डिजाइन गरिएको हो।
सामग्रीको तालिका
उत्तर कोरियाली-लिङ्क गरिएको मालवेयर खतराहरू
गत वर्षको अन्तमा, अन्वेषकहरूले KANDYKORN भनेर चिनिने अर्को macOS मालवेयर पत्ता लगाए, जुन एक अज्ञात क्रिप्टोकरेन्सी एक्सचेन्जमा ब्लकचेन इन्जिनियरहरूलाई लक्षित गर्दै साइबर आक्रमणमा प्रयोग गरिएको थियो।
KANDYKORN एक जटिल बहु-चरण संक्रमण श्रृंखला मार्फत डेलिभर गरिएको छ र पीडितको कम्प्युटरबाट डेटा पहुँच गर्न र बाहिर निकाल्न सुसज्जित छ। थप रूपमा, यसले स्वेच्छाचारी प्रक्रियाहरू समाप्त गर्न र होस्ट प्रणालीमा आदेशहरू कार्यान्वयन गर्न सक्छ।
दुई मालवेयर परिवारहरू बीचको मुख्य समानता भनेको कमाण्ड-एन्ड कन्ट्रोल (C2) अपरेसनहरूको लागि linkpc.net डोमेनहरूको प्रयोग हो। RustBucket र KANDYKORN दुबै लाजरस समूहको काम हो भन्ने विश्वास गरिन्छ, जसमा BlueNoroff भनेर चिनिने यसको उप-क्लस्टर समावेश छ।
उत्तर कोरिया, लाजरस समूह जस्ता समूहहरू मार्फत, क्रिप्टोकरेन्सी उद्योगमा व्यापारहरूलाई लक्षित गर्दै अन्तर्राष्ट्रिय प्रतिबन्धहरू बाइपास गर्न क्रिप्टोकरेन्सी फसल गर्ने उद्देश्यले उनीहरूको आर्थिक वृद्धि र महत्वाकांक्षाहरू प्रतिबन्धित गर्दछ।
TodoSwift आक्रमण चेन
TodoSwift आक्रमणमा, धम्की दिने व्यक्तिहरूले ब्लकचेन इन्जिनियरहरूलाई सार्वजनिक च्याट सर्भरमा उनीहरूको सीप र चासोहरू अनुरूप बनाइएको प्रलोभनमा लक्षित गरे, आर्थिक पुरस्कारको आश्वासन दिए।
भर्खरको खोजहरूले प्रकट गर्दछ कि TodoSwift लाई TodoTasks नामको हस्ताक्षर गरिएको फाइलको रूपमा वितरण गरिएको छ, जसमा ड्रपर कम्पोनेन्ट समावेश छ। यो कम्पोनेन्ट स्विफ्टयूआईसँग निर्मित GUI अनुप्रयोग हो, रस्टबकेटले प्रयोग गरेको प्रविधि गोप्य रूपमा दोस्रो चरणको बाइनरी डाउनलोड र कार्यान्वयन गर्दा पीडितलाई हतियारयुक्त PDF कागजात प्रस्तुत गर्न डिजाइन गरिएको हो।
पीडीएफ लुर गुगल ड्राइभमा होस्ट गरिएको एक सौम्य बिटकोइन-सम्बन्धित कागजात हो, जबकि धम्कीपूर्ण पेलोड अभिनेता-नियन्त्रित डोमेन, 'buy2x.com' बाट पुनःप्राप्त गरिएको छ। यो पेलोड प्रणाली जानकारी सङ्कलन गर्न र थप मालवेयर तैनाती गर्न डिजाइन गरिएको हो।
एक पटक स्थापना भएपछि, मालवेयरले यन्त्रको बारेमा विवरणहरू सङ्कलन गर्न सक्छ, जस्तै OS संस्करण र हार्डवेयर मोडेल, कमाण्ड-एन्ड-कन्ट्रोल (C2) सर्भरसँग API मार्फत सञ्चार गर्न, र यन्त्रमा कार्यान्वयनयोग्य फाइलमा डेटा लेख्न सक्छ। प्रलोभनको लागि गुगल ड्राइभ URL को प्रयोग र C2 URL लाई लन्च तर्कको रूपमा दोस्रो-चरण बाइनरीमा पङ्क्तिबद्ध गर्दै अघिल्लो DPRK मालवेयर लक्षित macOS प्रणालीहरूमा देखिएका रणनीतिहरूसँग।
TodoSwift म्याक मालवेयर भिडियो
सुझाव: आफ्नो आवाज खोल्नुहोस् र पूर्ण स्क्रिन मोडमा भिडियो हेर्नुहोस् ।
