TodoSwift Mac 恶意软件

翻译为：

网络安全研究人员发现了一种名为 TodoSwift 的 macOS 恶意软件新变种，其与与朝鲜黑客组织有关的已知恶意软件具有相同的特征。

该应用程序表现出多种类似于先前归因于朝鲜 (DPRK) 的恶意软件的行为，特别是 BlueNoroff 威胁组织，该组织与KANDYKORN和RustBucke等恶意软件有关。RustBucket 于 2023 年 7 月首次报告，是一个基于 AppleScript 的后门，旨在从命令和控制 (C2) 服务器检索其他有效负载。

与朝鲜相关的恶意软件威胁

去年年底，研究人员发现了另一种名为 KANDYKORN 的 macOS 恶意软件，该恶意软件被用于针对一家未具名加密货币交易所的区块链工程师的网络攻击。

KANDYKORN 通过复杂的多阶段感染链进行传播，能够访问和窃取受害者计算机中的数据。此外，它还可以终止任意进程并在主机系统上执行命令。

这两个恶意软件家族的一个关键相似之处是它们都使用 linkpc.net 域名进行命令与控制 (C2) 操作。RustBucket 和 KANDYKORN 均被认为是Lazarus Group及其名为 BlueNoroff 的子集群所为。

朝鲜通过拉撒路集团 (Lazarus Group) 等组织继续瞄准加密货币行业的企业，目的是获取加密货币，以绕过限制其经济增长和抱负的国际制裁。

TodoSwift 攻击链

在 TodoSwift 攻击中，威胁行为者在公共聊天服务器上瞄准区块链工程师，针对他们的技能和兴趣设置诱饵，并承诺提供经济奖励。

最近的调查结果显示，TodoSwift 以名为 TodoTasks 的签名文件形式分发，其中包含一个 dropper 组件。该组件是一个使用 SwiftUI 构建的 GUI 应用程序，旨在向受害者展示武器化的 PDF 文档，同时秘密下载和执行第二阶段二进制文件，RustBucket 也使用了这种技术。

PDF 诱饵是托管在 Google Drive 上的与比特币相关的良性文档，而威胁性负载是从参与者控制的域“buy2x.com”检索的。此负载旨在收集系统信息并部署其他恶意软件。

安装后，恶意软件可以收集有关设备的详细信息，例如操作系统版本和硬件型号，通过 API 与命令和控制 (C2) 服务器通信，并将数据写入设备上的可执行文件。使用 Google Drive URL 作为诱饵并将 C2 URL 作为启动参数传递给第二阶段二进制文件，这与之前针对 macOS 系统的朝鲜恶意软件中看到的策略一致。