Malware TodoSwift Mac

Nga Mezo në Malware, Kërcënimi i avancuar i vazhdueshëm (APT)

Përkthe në:

Studiuesit e sigurisë kibernetike kanë zbuluar një lloj të ri të malware-it macOS të quajtur TodoSwift, i cili ndan karakteristikat me malware të njohur të lidhur me grupet e hakerëve të Koresë së Veriut.

Ky aplikacion shfaq disa sjellje të ngjashme me malware të atribuar më parë Koresë së Veriut (DPRK), veçanërisht grupit të kërcënimit BlueNoroff, i cili është i lidhur me malware si KANDYKORN dhe RustBucke . RustBucket, i raportuar për herë të parë në korrik 2023, është një derë e pasme e bazuar në AppleScript, e krijuar për të tërhequr ngarkesa shtesë nga një server Command-and-Control (C2).

Tabela e Përmbajtjes

Kërcënimet e malware të lidhura me Korenë e Veriut

Në fund të vitit të kaluar, studiuesit zbuluan një tjetër malware të macOS të njohur si KANDYKORN, i cili u përdor në një sulm kibernetik që synonte inxhinierët e blockchain në një shkëmbim kriptomonedhash të paemërtuar.

KANDYKORN shpërndahet përmes një zinxhiri kompleks infeksioni me shumë faza dhe është i pajisur për të hyrë dhe për të nxjerrë të dhëna nga kompjuteri i viktimës. Për më tepër, ai mund të përfundojë procese arbitrare dhe të ekzekutojë komanda në sistemin pritës.

Një ngjashmëri kryesore midis dy familjeve të malware është përdorimi i tyre i domeneve linkpc.net për operacionet Command-and Control (C2). Të dy RustBucket dhe KANDYKORN besohet se janë punë e Grupit Lazarus , duke përfshirë nën-grupin e tij të njohur si BlueNoroff.

Koreja e Veriut, përmes grupeve si Grupi Lazarus, vazhdon të synojë bizneset në industrinë e kriptomonedhave me synimin për të mbledhur kriptomonedha për të anashkaluar sanksionet ndërkombëtare që kufizojnë rritjen ekonomike dhe ambiciet e tyre.

Zinxhiri i sulmit TodoSwift

Në sulmin TodoSwift, aktorët e kërcënimit synuan inxhinierët e blockchain në një server chat publik me një joshje të përshtatur për aftësitë dhe interesat e tyre, duke premtuar shpërblime financiare.

Gjetjet e fundit zbulojnë se TodoSwift shpërndahet si një skedar i nënshkruar i quajtur TodoTasks, i cili përmban një komponent pikatore. Ky komponent është një aplikacion GUI i ndërtuar me SwiftUI, i krijuar për t'i paraqitur viktimës një dokument PDF të armatosur ndërsa shkarkon dhe ekzekuton fshehurazi një binar të fazës së dytë, një teknikë e përdorur edhe nga RustBucket.

Joshja PDF është një dokument i mirë i lidhur me Bitcoin, i vendosur në Google Drive, ndërsa ngarkesa kërcënuese është marrë nga një domen i kontrolluar nga aktori, 'buy2x.com'. Kjo ngarkesë është krijuar për të mbledhur informacione të sistemit dhe për të vendosur malware shtesë.

Pasi të instalohet, malware mund të mbledhë detaje rreth pajisjes, të tilla si versioni OS dhe modeli i harduerit, të komunikojë me serverin Command-and-Control (C2) nëpërmjet API dhe të shkruajë të dhëna në një skedar të ekzekutueshëm në pajisje. Përdorimi i një URL-je të Google Drive për joshjen dhe kalimi i URL-së C2 si një argument nisjeje në binarin e fazës së dytë, përputhet me taktikat e mëparshme në DPRK që synojnë sistemet macOS të malware.