TodoSwift Mac Malware

Med Mezo år Skadlig programvara, Advanced Persistent Threat (APT)

Översätt till:

Cybersäkerhetsforskare har upptäckt en ny stam av macOS-skadlig programvara som heter TodoSwift, som delar egenskaper med känd skadlig programvara kopplad till nordkoreanska hackningsgrupper.

Den här applikationen uppvisar flera beteenden som liknar skadlig programvara som tidigare tillskrivits Nordkorea (DPRK), särskilt BlueNoroff-hotgruppen, som är associerad med skadlig programvara som KANDYKORN och RustBucke . RustBucket, som först rapporterades i juli 2023, är en AppleScript-baserad bakdörr designad för att hämta ytterligare nyttolaster från en Command-and-Control-server (C2).

Innehållsförteckning

Nordkoreanskt länkade hot mot skadlig programvara

I slutet av förra året upptäckte forskare en annan macOS-skadlig kod känd som KANDYKORN, som användes i en cyberattack riktad mot blockkedjeingenjörer på en icke namngiven kryptovalutabörs.

KANDYKORN levereras genom en komplex infektionskedja i flera steg och är utrustad för att komma åt och exfiltrera data från offrets dator. Dessutom kan den avsluta godtyckliga processer och utföra kommandon på värdsystemet.

En viktig likhet mellan de två skadliga programfamiljerna är deras användning av linkpc.net-domäner för Command-and Control-operationer (C2). Både RustBucket och KANDYKORN tros vara Lazarus Groups verk, inklusive dess underkluster som kallas BlueNoroff.

Nordkorea, genom grupper som Lazarus Group, fortsätter att rikta in sig på företag inom kryptovalutaindustrin i syfte att skörda kryptovaluta för att kringgå internationella sanktioner som begränsar deras ekonomiska tillväxt och ambitioner.

TodoSwift attackkedja

I TodoSwift-attacken riktade hotaktörerna blockchain-ingenjörer på en offentlig chattserver med ett lockbete skräddarsytt för deras färdigheter och intressen, och lovade ekonomiska belöningar.

De senaste resultaten avslöjar att TodoSwift distribueras som en signerad fil med namnet TodoTasks, som innehåller en dropper-komponent. Den här komponenten är en GUI-applikation byggd med SwiftUI, designad för att presentera ett beväpnat PDF-dokument för offret samtidigt som den i hemlighet laddar ner och kör en andrastegs binär, en teknik som också används av RustBucket.

PDF-locket är ett godartat Bitcoin-relaterat dokument som lagras på Google Drive, medan den hotande nyttolasten hämtas från en aktörskontrollerad domän, 'buy2x.com'. Denna nyttolast är utformad för att samla in systeminformation och distribuera ytterligare skadlig programvara.

När den väl har installerats kan den skadliga programvaran samla in detaljer om enheten, såsom OS-versionen och hårdvarumodellen, kommunicera med Command-and-Control-servern (C2) via API och skriva data till en körbar fil på enheten. Användningen av en Google Drive-URL för lockbetet och att skicka C2-URL:n som ett lanseringsargument till det binära andra steget överensstämmer med taktik som setts i tidigare Nordkorea skadlig programvara inriktad på macOS-system.