Új macOS malware-t azonosítottak, mely észak-koreai hackercsoportokhoz köthető. A TodoSwift nevű új macOS malware felfedezéséről számoltak be kiberbiztonsági kutatók, amely számos hasonlóságot mutat más Észak-Koreából származó, ismert malware-ekkel.
„Az alkalmazás több olyan dolgot is mutat, amelyet korábban Észak-Koreából (KNDK) származó malware-eknél láttunk – különösen a BlueNoroff hacker csoporttól ismert KANDYKORN és RustBucket esetében” – mondta Christopher Lopez, a Kandji biztonsági kutatója.
A RustBucket, amely először 2023 júliusában tűnt fel, egy AppleScript-alapú hátsó ajtót jelöl, amely képes parancs- és vezérlő (C2) szerverről további terheléseket beolvasni. Az előző év végén az Elastic Security Labs szintén felfedezett egy másik macOS malware-t, a KANDYKORN-t, amelyet egy nevesítetlen kriptovaluta-tőzsde blockchain mérnökeit célzó kibertámadás során vetettek be.
A KANDYKORN egy kifinomult, több lépésből álló támadási mechanizmus révén kerül telepítésre, amely lehetővé teszi az adatok elérését és kiszivárogtatását az áldozat számítógépéről. Emellett képes bármilyen folyamat leállítására és parancsok végrehajtására a célgépen. Ez a támadási módszer jól mutatja a KANDYKORN fejlettségét, és az általa jelentett komoly kiberbiztonsági fenyegetést.
A két malware-családot összekötő közös jellemző a linkpc[.]net domainek használata a C2 céljaira. Mind a RustBucket, mind a KANDYKORN a Lazarus csoport (és annak egyik al-csoportja, a BlueNoroff) munkájának tekinthető.
„A KNDK, mint a Lazarus csoporton keresztül, folyamatosan kriptoipari cégeket céloz meg azzal a szándékkal, hogy kriptovalutát lopjanak, ezzel is kijátszva a gazdasági növekedésüket és ambícióikat gátló nemzetközi szankciókat” – állapította meg az Elastic abban az időben.
„Ebben a behatolásban a blockchain mérnököket célzó, nyilvános csevegőszerveren keresztül csalták csapdába, kifejezetten a képességeikre és érdeklődési körükre szabott csalétekkel, anyagi nyereség ígéretével.”
A legfrissebb eredmények szerint a TodoSwift a TodoTasks nevű formában terjed, amely egy cseppentő komponenst tartalmaz. Ez a modul egy SwiftUI-ben írt GUI alkalmazás, amely egy fegyverzett PDF dokumentumot jelenít meg az áldozatnak, miközben titokban letölti és végrehajtja a második szakasz binárisát, egy olyan technikát, amelyet a RustBucket is alkalmaz.
A „csali” PDF egy ártalmatlan, Bitcoin-nal kapcsolatos dokumentum, amely a Google Drive-on található, míg a rosszindulatú terhelés egy színész által irányított domainről („buy2x[.]com”) származik. A bináris pontos részleteinek további vizsgálata folyamatban van.
„A Google Drive URL használata és a C2 URL átadása indítási argumentumként a második szakasz binárisához összhangban van az előző, macOS rendszereket érintő KNDK malware-ekkel” – mondta Lopez.
Forrás: www.thehackernews.com