Malware TodoSwift Mac

Până în Mezo în Programe malware, Amenințare persistentă avansată (APT)

Tradu in:

Cercetătorii în domeniul securității cibernetice au descoperit o nouă tulpină de malware macOS numită TodoSwift, care împărtășește caracteristici cu malware-ul cunoscut legat de grupurile de hacking din Coreea de Nord.

Această aplicație prezintă mai multe comportamente similare cu programele malware atribuite anterior Coreei de Nord (RPDC), în special grupul de amenințări BlueNoroff, care este asociat cu programe malware precum KANDYKORN și RustBucke . RustBucket, raportat pentru prima dată în iulie 2023, este un backdoor bazat pe AppleScript, conceput pentru a prelua încărcături suplimentare de pe un server Command-and-Control (C2).

Cuprins

Amenințări malware legate de Coreea de Nord

La sfârșitul anului trecut, cercetătorii au descoperit un alt malware macOS cunoscut sub numele de KANDYKORN, care a fost folosit într-un atac cibernetic care vizează inginerii blockchain la un schimb de criptomonede fără nume.

KANDYKORN este livrat printr-un lanț complex de infecție în mai multe etape și este echipat pentru a accesa și a exfiltra datele de pe computerul victimei. În plus, poate încheia procese arbitrare și poate executa comenzi pe sistemul gazdă.

O asemănare cheie între cele două familii de malware este utilizarea de către aceștia a domeniilor linkpc.net pentru operațiunile de comandă și control (C2). Atât RustBucket, cât și KANDYKORN sunt considerate a fi opera Grupului Lazarus , inclusiv sub-clusterul său cunoscut sub numele de BlueNoroff.

Coreea de Nord, prin grupuri precum Grupul Lazarus, continuă să vizeze afacerile din industria criptomonedei cu scopul de a recolta criptomonede pentru a ocoli sancțiunile internaționale care le restricționează creșterea economică și ambițiile.

Lanțul de atac TodoSwift

În atacul TodoSwift, actorii amenințărilor au vizat inginerii blockchain pe un server de chat public cu o momeală adaptată abilităților și intereselor lor, promițând recompense financiare.

Descoperirile recente arată că TodoSwift este distribuit ca un fișier semnat, numit TodoTasks, care conține o componentă dropper. Această componentă este o aplicație GUI construită cu SwiftUI, concepută pentru a prezenta victimei un document PDF cu arme în timp ce descarcă și execută în secret un binar din a doua etapă, tehnică folosită și de RustBucket.

Naluca PDF este un document benign legat de Bitcoin, găzduit pe Google Drive, în timp ce sarcina utilă amenințătoare este preluată dintr-un domeniu controlat de actor, „buy2x.com”. Această sarcină utilă este creată pentru a colecta informații despre sistem și pentru a implementa programe malware suplimentare.

Odată instalat, malware-ul poate aduna detalii despre dispozitiv, cum ar fi versiunea sistemului de operare și modelul hardware, poate comunica cu serverul Command-and-Control (C2) prin API și poate scrie date într-un fișier executabil de pe dispozitiv. Utilizarea unei adrese URL Google Drive pentru momeală și transmiterea adresei URL C2 ca argument de lansare la binarul din a doua etapă se aliniază cu tacticile văzute în programele malware anterioare din RPDC care vizează sistemele macOS.