Malware TodoSwift para Mac
Investigadores de ciberseguridad han descubierto una nueva cepa del malware para macOS llamado TodoSwift, que comparte características con el malware conocido vinculado a grupos de piratas informáticos norcoreanos.
Esta aplicación presenta varios comportamientos similares a los malware atribuidos anteriormente a Corea del Norte (RPDC), en particular al grupo de amenazas BlueNoroff, que está asociado con malware como KANDYKORN y RustBucke . RustBucket, reportado por primera vez en julio de 2023, es una puerta trasera basada en AppleScript diseñada para recuperar cargas útiles adicionales de un servidor de Comando y Control (C2).
Tabla de contenido
Amenazas de malware vinculadas a Corea del Norte
A fines del año pasado, los investigadores descubrieron otro malware para macOS conocido como KANDYKORN, que se utilizó en un ciberataque dirigido a ingenieros de blockchain en un intercambio de criptomonedas anónimo.
KANDYKORN se distribuye a través de una compleja cadena de infección de varias etapas y está equipado para acceder y extraer datos del equipo de la víctima. Además, puede finalizar procesos arbitrarios y ejecutar comandos en el sistema host.
Una similitud clave entre las dos familias de malware es el uso de dominios linkpc.net para operaciones de Comando y Control (C2). Se cree que tanto RustBucket como KANDYKORN son obra del Grupo Lazarus , incluido su subgrupo conocido como BlueNoroff.
Corea del Norte, a través de grupos como el Grupo Lazarus, continúa atacando a empresas de la industria de las criptomonedas con el objetivo de obtener criptomonedas para eludir las sanciones internacionales que restringen su crecimiento y ambiciones económicas.
Cadena de ataque TodoSwift
En el ataque TodoSwift, los actores de la amenaza apuntaron a ingenieros de blockchain en un servidor de chat público con un señuelo adaptado a sus habilidades e intereses, prometiendo recompensas financieras.
Los últimos hallazgos revelan que TodoSwift se distribuye como un archivo firmado llamado TodoTasks, que contiene un componente dropper. Este componente es una aplicación GUI creada con SwiftUI, diseñada para presentar un documento PDF con fines maliciosos a la víctima mientras descarga y ejecuta en secreto un binario de segunda etapa, una técnica que también utiliza RustBucket.
El PDF que se utiliza como señuelo es un documento benigno relacionado con Bitcoin alojado en Google Drive, mientras que la carga útil amenazante se obtiene de un dominio controlado por el actor, 'buy2x.com'. Esta carga útil está diseñada para recopilar información del sistema e implementar malware adicional.
Una vez instalado, el malware puede recopilar detalles sobre el dispositivo, como la versión del sistema operativo y el modelo de hardware, comunicarse con el servidor de Comando y Control (C2) a través de una API y escribir datos en un archivo ejecutable en el dispositivo. El uso de una URL de Google Drive como señuelo y el paso de la URL de C2 como argumento de lanzamiento al binario de segunda etapa se alinea con las tácticas observadas en malware anterior de la DPRK dirigido a sistemas macOS.
Video Malware TodoSwift para Mac
Consejo: encienda el sonido y mire el video en modo de pantalla completa .
