TodoSwift Mac 惡意軟體

翻譯為：

網路安全研究人員發現了一種名為 TodoSwift 的 macOS 惡意軟體新變種，它與與北韓駭客組織有關的已知惡意軟體具有相同的特徵。

該應用程式表現出一些與先前歸因於北韓 (DPRK) 的惡意軟體類似的行為，特別是 BlueNoroff 威脅組織，該組織與KANDYKORN和RustBucke等惡意軟體相關。 RustBucket 於 2023 年 7 月首次報道，是一個基於 AppleScript 的後門，旨在從命令與控制 (C2) 伺服器檢索額外的有效負載。

與北韓有關的惡意軟體威脅

去年年底，研究人員發現了另一種名為 KANDYKORN 的 macOS 惡意軟體，該惡意軟體被用於針對一家未命名的加密貨幣交易所的區塊鏈工程師的網路攻擊。

KANDYKORN 透過複雜的多層感染鏈傳播，並能夠存取和竊取受害者電腦中的資料。此外，它還可以終止任意進程並在主機系統上執行命令。

這兩個惡意軟體系列之間的一個關鍵相似之處是它們都使用 linkpc.net 網域進行命令和控制 (C2) 操作。 RustBucket 和 KANDYKORN 都被認為是Lazarus Group的作品，包括其名為 BlueNoroff 的子群集。

北韓透過拉撒路集團等組織繼續瞄準加密貨幣行業的企業，目的是獲取加密貨幣，以繞過限制其經濟成長和野心的國際制裁。

TodoSwift 攻擊鏈

在 TodoSwift 攻擊中，威脅行為者以公共聊天伺服器上的區塊鏈工程師為目標，根據他們的技能和興趣量身定制誘餌，承諾經濟獎勵。

最近的發現表明，TodoSwift 以名為 TodoTasks 的簽名檔案形式分發，其中包含一個 dropper 元件。該元件是一個使用 SwiftUI 建立的 GUI 應用程序，旨在向受害者呈現武器化的 PDF 文檔，同時秘密下載和執行第二階段二進位文件，RustBucket 也使用了這種技術。

PDF 誘餌是託管在 Google Drive 上的良性比特幣相關文檔，而威脅性有效負載是從攻擊者控制的網域「buy2x.com」中檢索的。此有效負載旨在收集系統資訊並部署其他惡意軟體。

安裝後，惡意軟體可以收集有關設備的詳細信息，例如作業系統版本和硬體型號，透過 API 與命令與控制 (C2) 伺服器通信，並將資料寫入裝置上的可執行檔。使用 Google Drive URL 進行誘騙並將 C2 URL 作為啟動參數傳遞給第二階段二進位文件，這與先前針對 macOS 系統的 DPRK 惡意軟體中所見的策略一致。