TodoSwift Mac-Malware

Von Mezo in Malware, Erweiterte, anhaltende Bedrohung (APT)

Übersetzen Sie in:

Cybersicherheitsforscher haben eine neue Variante der macOS-Malware namens TodoSwift entdeckt, die Merkmale mit bekannter Malware teilt, die mit nordkoreanischen Hackergruppen in Verbindung steht.

Diese Anwendung weist mehrere Verhaltensweisen auf, die Malware ähneln, die zuvor Nordkorea (DVRK) zugeschrieben wurde, insbesondere der Bedrohungsgruppe BlueNoroff, die mit Malware wie KANDYKORN und RustBucke in Verbindung gebracht wird. RustBucket, das erstmals im Juli 2023 gemeldet wurde, ist eine AppleScript-basierte Hintertür, die darauf ausgelegt ist, zusätzliche Payloads von einem Command-and-Control-Server (C2) abzurufen.

Inhaltsverzeichnis

Mit Nordkorea in Zusammenhang stehende Malware-Bedrohungen

Ende letzten Jahres entdeckten Forscher eine weitere macOS-Malware namens KANDYKORN, die bei einem Cyberangriff auf Blockchain-Ingenieure einer nicht genannten Kryptowährungsbörse eingesetzt wurde.

KANDYKORN wird über eine komplexe mehrstufige Infektionskette übertragen und ist in der Lage, auf Daten vom Computer des Opfers zuzugreifen und diese zu exfiltrieren. Darüber hinaus kann es beliebige Prozesse beenden und Befehle auf dem Hostsystem ausführen.

Eine wesentliche Gemeinsamkeit zwischen den beiden Malware-Familien ist ihre Nutzung von linkpc.net-Domänen für Command-and-Control-Operationen (C2). Sowohl RustBucket als auch KANDYKORN werden als Werk der Lazarus Group angesehen, einschließlich ihres als BlueNoroff bekannten Unterclusters.

Nordkorea nimmt über Gruppen wie die Lazarus Group weiterhin Unternehmen in der Kryptowährungsbranche ins Visier, mit dem Ziel, Kryptowährungen zu erbeuten und so die internationalen Sanktionen zu umgehen, die ihr Wirtschaftswachstum und ihre Ambitionen einschränken.

TodoSwift-Angriffskette

Beim TodoSwift-Angriff zielten die Bedrohungsakteure auf Blockchain-Ingenieure auf einem öffentlichen Chat-Server mit einem auf ihre Fähigkeiten und Interessen zugeschnittenen Köder ab und versprachen finanzielle Belohnungen.

Aktuelle Erkenntnisse zeigen, dass TodoSwift als signierte Datei namens TodoTasks verbreitet wird, die eine Dropper-Komponente enthält. Diese Komponente ist eine mit SwiftUI erstellte GUI-Anwendung, die dem Opfer ein manipuliertes PDF-Dokument präsentiert und gleichzeitig heimlich eine Binärdatei der zweiten Stufe herunterlädt und ausführt – eine Technik, die auch von RustBucket verwendet wird.

Der PDF-Köder ist ein harmloses Bitcoin-bezogenes Dokument, das auf Google Drive gehostet wird, während die bedrohliche Nutzlast von einer vom Akteur kontrollierten Domain namens „buy2x.com“ abgerufen wird. Diese Nutzlast ist darauf ausgelegt, Systeminformationen zu sammeln und zusätzliche Malware zu verbreiten.

Nach der Installation kann die Malware Details zum Gerät sammeln, wie etwa die Betriebssystemversion und das Hardwaremodell, über eine API mit dem Command-and-Control-Server (C2) kommunizieren und Daten in eine ausführbare Datei auf dem Gerät schreiben. Die Verwendung einer Google Drive-URL als Köder und die Übergabe der C2-URL als Startargument an die Binärdatei der zweiten Stufe entspricht den Taktiken, die bei früherer nordkoreanischer Malware zu beobachten waren, die auf macOS-Systeme abzielte.