TodoSwift Mac మాల్వేర్

మాల్వేర్, అధునాతన పెర్సిస్టెంట్ థ్రెట్ (APT)లో Mezo నాటికి

దీనికి అనువదించండి:

సైబర్‌ సెక్యూరిటీ పరిశోధకులు TodoSwift అని పిలువబడే MacOS మాల్వేర్ యొక్క కొత్త జాతిని కనుగొన్నారు, ఇది ఉత్తర కొరియా హ్యాకింగ్ సమూహాలకు లింక్ చేయబడిన తెలిసిన మాల్వేర్‌తో లక్షణాలను పంచుకుంటుంది.

ఈ అప్లికేషన్ గతంలో ఉత్తర కొరియా (DPRK)కి ఆపాదించబడిన మాల్వేర్ మాదిరిగానే అనేక ప్రవర్తనలను ప్రదర్శిస్తుంది, ప్రత్యేకించి BlueNoroff థ్రెట్ గ్రూప్, ఇది KANDYKORN మరియు RustBucke వంటి మాల్వేర్‌లతో అనుబంధించబడింది. RustBucket, మొదటిసారి జూలై 2023లో నివేదించబడింది, ఇది కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్ నుండి అదనపు పేలోడ్‌లను తిరిగి పొందేందుకు రూపొందించబడిన AppleScript-ఆధారిత బ్యాక్‌డోర్.

విషయ సూచిక

ఉత్తర కొరియా-లింక్డ్ మాల్వేర్ బెదిరింపులు

గత సంవత్సరం చివర్లో, పరిశోధకులు KANDYKORN అని పిలువబడే మరొక మాకోస్ మాల్వేర్‌ను కనుగొన్నారు, ఇది పేరులేని క్రిప్టోకరెన్సీ ఎక్స్ఛేంజ్‌లో బ్లాక్‌చెయిన్ ఇంజనీర్లను లక్ష్యంగా చేసుకుని సైబర్ దాడిలో ఉపయోగించబడింది.

KANDYKORN సంక్లిష్ట బహుళ-దశల ఇన్ఫెక్షన్ చైన్ ద్వారా పంపిణీ చేయబడుతుంది మరియు బాధితుని కంప్యూటర్ నుండి డేటాను యాక్సెస్ చేయడానికి మరియు వెలికితీసేందుకు అమర్చబడింది. అదనంగా, ఇది హోస్ట్ సిస్టమ్‌పై ఏకపక్ష ప్రక్రియలను ముగించగలదు మరియు ఆదేశాలను అమలు చేయగలదు.

కమాండ్-అండ్ కంట్రోల్ (C2) ఆపరేషన్‌ల కోసం వారు linkpc.net డొమైన్‌లను ఉపయోగించడం అనేది రెండు మాల్వేర్ కుటుంబాల మధ్య ఉన్న ఒక ముఖ్యమైన సారూప్యత. RustBucket మరియు KANDYKORN రెండూ Lazarus గ్రూప్ యొక్క పని అని నమ్ముతారు, దానిలో BlueNoroff అని పిలువబడే సబ్-క్లస్టర్ కూడా ఉంది.

ఉత్తర కొరియా, లాజరస్ గ్రూప్ వంటి సమూహాల ద్వారా, వారి ఆర్థిక వృద్ధి మరియు ఆశయాలను నిరోధించే అంతర్జాతీయ ఆంక్షలను దాటవేయడానికి క్రిప్టోకరెన్సీని పండించే లక్ష్యంతో క్రిప్టోకరెన్సీ పరిశ్రమలోని వ్యాపారాలను లక్ష్యంగా చేసుకుంటూనే ఉంది.

టోడోస్విఫ్ట్ అటాక్ చైన్

టోడోస్విఫ్ట్ దాడిలో, బెదిరింపు నటులు బ్లాక్‌చెయిన్ ఇంజనీర్‌లను పబ్లిక్ చాట్ సర్వర్‌లో లక్ష్యంగా చేసుకున్నారు, వారి నైపుణ్యాలు మరియు ఆసక్తులకు అనుగుణంగా ఆర్థిక రివార్డులను వాగ్దానం చేశారు.

టోడోస్విఫ్ట్ టోడోటాస్క్‌ల పేరుతో సంతకం చేయబడిన ఫైల్‌గా పంపిణీ చేయబడిందని ఇటీవలి పరిశోధనలు వెల్లడిస్తున్నాయి, ఇందులో డ్రాపర్ భాగం ఉంది. ఈ భాగం SwiftUIతో రూపొందించబడిన GUI అప్లికేషన్, ఇది రస్ట్‌బకెట్ కూడా ఉపయోగించే రెండవ-దశ బైనరీని రహస్యంగా డౌన్‌లోడ్ చేసి, అమలు చేస్తున్నప్పుడు బాధితునికి ఆయుధాలతో కూడిన PDF పత్రాన్ని అందించడానికి రూపొందించబడింది.

PDF లూర్ అనేది Google డిస్క్‌లో హోస్ట్ చేయబడిన నిరపాయమైన బిట్‌కాయిన్-సంబంధిత పత్రం, అయితే బెదిరింపు పేలోడ్ నటుని-నియంత్రిత డొమైన్ 'buy2x.com' నుండి తిరిగి పొందబడుతుంది. ఈ పేలోడ్ సిస్టమ్ సమాచారాన్ని సేకరించడానికి మరియు అదనపు మాల్వేర్‌ని అమలు చేయడానికి రూపొందించబడింది.

ఇన్‌స్టాల్ చేసిన తర్వాత, మాల్వేర్ పరికరం గురించిన OS వెర్షన్ మరియు హార్డ్‌వేర్ మోడల్ వంటి వివరాలను సేకరించగలదు, API ద్వారా కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్‌తో కమ్యూనికేట్ చేస్తుంది మరియు పరికరంలోని ఎక్జిక్యూటబుల్ ఫైల్‌కి డేటాను వ్రాయగలదు. ఎర కోసం Google డిస్క్ URLని ఉపయోగించడం మరియు C2 URLని లాంచ్ ఆర్గ్యుమెంట్‌గా రెండవ-దశ బైనరీకి పంపడం అనేది మునుపటి DPRK మాల్వేర్ మాకోస్ సిస్టమ్‌లను లక్ష్యంగా చేసుకున్న వ్యూహాలతో సమలేఖనం చేస్తుంది.