TodoSwift Вредоносное ПО для Mac

К Mezo году в Вредоносное ПО, Расширенная постоянная угроза (APT) году

Перевести на:

Исследователи кибербезопасности обнаружили новый штамм вредоносного ПО для macOS под названием TodoSwift, который имеет схожие характеристики с известным вредоносным ПО, связанным с северокорейскими хакерскими группами.

Это приложение демонстрирует несколько поведенческих особенностей, схожих с вредоносным ПО, ранее приписываемым Северной Корее (КНДР), в частности, с группой угроз BlueNoroff, которая связана с такими вредоносными программами, как KANDYKORN и RustBucke . RustBucket, впервые обнаруженный в июле 2023 года, представляет собой бэкдор на основе AppleScript, предназначенный для извлечения дополнительных полезных данных с сервера управления и контроля (C2).

Оглавление

Угрозы вредоносного ПО, связанные с Северной Кореей

В конце прошлого года исследователи обнаружили еще одно вредоносное ПО для macOS, известное как KANDYKORN, которое использовалось в кибератаке, нацеленной на блокчейн-инженеров на неназванной криптовалютной бирже.

KANDYKORN доставляется через сложную многоступенчатую цепочку заражения и оснащен для доступа и извлечения данных с компьютера жертвы. Кроме того, он может завершать произвольные процессы и выполнять команды на хост-системе.

Ключевым сходством между двумя семействами вредоносных программ является использование ими доменов linkpc.net для операций Command-and-Control (C2). Считается, что RustBucket и KANDYKORN являются работой Lazarus Group , включая ее подкластер, известный как BlueNoroff.

Северная Корея через такие группировки, как Lazarus Group, продолжает преследовать предприятия криптовалютной индустрии с целью сбора криптовалюты для обхода международных санкций, ограничивающих их экономический рост и амбиции.

Цепочка атак TodoSwift

В ходе атаки TodoSwift злоумышленники нацелились на блокчейн-инженеров на публичном чат-сервере, используя приманку, подобранную с учетом их навыков и интересов, и обещая финансовое вознаграждение.

Недавние результаты показывают, что TodoSwift распространяется как подписанный файл с именем TodoTasks, который содержит компонент-дроппер. Этот компонент представляет собой приложение GUI, созданное с помощью SwiftUI, предназначенное для представления жертве документа PDF с использованием оружия, при этом тайно загружая и выполняя двоичный файл второго этапа, метод, также используемый RustBucket.

PDF-приманка представляет собой безобидный документ, связанный с Bitcoin, размещенный на Google Drive, в то время как угрожающая полезная нагрузка извлекается из контролируемого злоумышленником домена «buy2x.com». Эта полезная нагрузка создана для сбора системной информации и развертывания дополнительного вредоносного ПО.

После установки вредоносное ПО может собирать сведения об устройстве, такие как версия ОС и модель оборудования, взаимодействовать с сервером Command-and-Control (C2) через API и записывать данные в исполняемый файл на устройстве. Использование URL-адреса Google Drive для приманки и передача URL-адреса C2 в качестве аргумента запуска двоичному файлу второго этапа соответствует тактике, которая применялась в предыдущих вредоносных программах КНДР, нацеленных на системы macOS.