Cybersecurity-onderzoekers hebben een nieuwe macOS-malware ontdekt met de naam TodoSwift. Volgens hen vertoont deze malware overeenkomsten met bekende schadelijke software die door Noord-Koreaanse hackersgroepen wordt gebruikt.
“Deze applicatie vertoont verschillende overeenkomsten met malware die we hebben gezien en die afkomstig is uit Noord-Korea (DPRK), met name de dreigingsactor BlueNoroff, zoals KANDYKORN en RustBucket”, aldus Christopher Lopez, beveiligingsonderzoeker bij Kandji, in een analyse.
RustBucket, dat voor het eerst in juli 2023 aan het licht kwam, verwijst naar een op AppleScript gebaseerde backdoor die next-stage payloads van een command-and-control (C2)-server kan ophalen.
Eind vorig jaar ontdekte Elastic Security Labs ook nog een andere macOS-malware met de naam KANDYKORN. Deze malware werd gebruikt in het kader van een cyberaanval die gericht was op blockchain-engineers van een niet nader genoemd platform voor cryptovaluta-uitwisseling.
Geleverd via een geavanceerde multi-stage infectieketen, heeft KANDYKORN de mogelijkheid om toegang te krijgen tot en data te exfiltreren van de computer van een slachtoffer. Het is ook ontworpen om willekeurige processen te beëindigen en opdrachten uit te voeren op de host.
Een gemeenschappelijke eigenschap die de twee malwarefamilies verbindt, ligt in het gebruik van linkpc(.)net-domeinen voor C2-doeleinden. Zowel RustBucket als KANDYKORN worden beoordeeld als het werk van een hackersteam genaamd de Lazarus Group (en zijn subcluster bekend als BlueNoroff).
“De DPRK blijft, via eenheden als de Lazarus Group, cryptobedrijven aanvallen met als doel cryptovaluta te stelen om zo internationale sancties te omzeilen die de groei van hun economie en ambities belemmeren”, aldus Elastic destijds.
“Bij deze inbraak richtten ze zich op blockchain-ingenieurs die actief waren op een openbare chatserver, met een lokaas dat gericht was op hun vaardigheden en interesses, met als onderliggende belofte van financieel gewin.”
De nieuwste bevindingen van het Apple-apparaatbeheer- en beveiligingsplatform laten zien dat TodoSwift wordt verspreid in de vorm van een ondertekend bestand met de naam TodoTasks, dat bestaat uit een dropper-component.
Deze module is een GUI-applicatie die is geschreven in SwiftUI en die is ontworpen om een PDF-document met malware aan het slachtoffer te tonen, terwijl heimelijk een binair bestand uit de tweede fase wordt gedownload en uitgevoerd. Deze techniek wordt ook in RustBucket gebruikt.
De lure PDF is een onschadelijk Bitcoin-gerelateerd document dat gehost wordt op Google Drive, terwijl de kwaadaardige payload opgehaald wordt van een door actoren gecontroleerd domein (“buy2x(.)com”). Verder onderzoek naar de exacte details van het binaire bestand is nog gaande.
“Het gebruik van een Google Drive-URL en het doorgeven van de C2-URL als een startargument aan het binaire bestand van fase 2 komt overeen met eerdere DPRK-malware die macOS-systemen aantastte”, aldus Lopez.