Ερευνητές ασφαλείας ανακάλυψαν ένα νέο macOS malware, με το όνομα TodoSwift, το οποίο έχει κοινά στοιχεία με γνωστό κακόβουλο λογισμικό που χρησιμοποιείται από Βορειοκορεάτες hackers.
Σύμφωνα με τον ερευνητή Christopher Lopez, το TodoSwift μοιάζει κυρίως με το KANDYKORN και το RustBucket που χρησιμοποιούνται από τη βορειοκορεατική ομάδα BlueNoroff.
Το RustBucket, το οποίο κυκλοφόρησε για πρώτη φορά τον Ιούλιο του 2023, είναι ένα AppleScript-based backdoor που λαμβάνει κακόβουλα payloads επόμενου σταδίου από έναν διακομιστή εντολών και ελέγχου (C2).
Δείτε επίσης: Το νέο macOS Sequoia ενισχύει τους ελέγχους Gatekeeper
Όσον αφορά στο KANDYKORN, ανακαλύφθηκε στα τέλη του περασμένου έτους από την Elastic Security Labs, η οποία το εντόπισε σε μια κυβερνοεπίθεση που στόχευε μηχανικούς blockchain μιας ανώνυμης πλατφόρμας ανταλλαγής κρυπτονομισμάτων.
Το KANDYKORN παρέχεται μέσω μιας εξελιγμένης αλυσίδας μόλυνσης πολλαπλών σταδίων και διαθέτει δυνατότητες πρόσβασης και εξαγωγής δεδομένων από το παραβιασμένο σύστημα. Μπορεί, επίσης, να τερματίζει διεργασίες και να εκτελεί εντολές στον κεντρικό υπολογιστή.
Ένα κοινό χαρακτηριστικό των RustBucket και KANDYKORN είναι η χρήση linkpc[.]net domains για σκοπούς C2. Τόσο το RustBucket όσο και το KANDYKORN θεωρούνται έργο της γνωστής ομάδας Lazarus Group και του υπο-cluster της, BlueNoroff.
“Η Βόρεια Κορέα συνεχίζει να στοχεύει επιχειρήσεις που ασχολούνται με τα crypto, μέσω ομάδων όπως η Lazarus. Στόχος της είναι η κλοπή κρυπτονομισμάτων προκειμένου να παρακάμψει τις διεθνείς κυρώσεις που εμποδίζουν την ανάπτυξη της οικονομίας και τις φιλοδοξίες της”, δήλωσε τότε η Elastic.
Τα τελευταία ευρήματα δείχνουν ότι το νέο macOS malware TodoSwift διανέμεται με τη μορφή TodoTasks και περιέχει ένα dropper component.
Δείτε επίσης: BeaverTail: Ανακαλύφθηκε νέα έκδοση του macOS malware
Αυτό το module είναι ένα GUI application γραμμένο σε SwiftUI, που έχει σχεδιαστεί για να εμφανίζει ένα weaponized PDF στο θύμα, ενώ κατεβάζει και εκτελεί κρυφά ένα binary δεύτερου σταδίου, μια τεχνική που χρησιμοποιείται και στο RustBucket.
Το δέλεαρ PDF είναι ένα αβλαβές έγγραφο που σχετίζεται με τα Bitcoin και φιλοξενείται στο Google Drive, ενώ το κακόβουλο payload ανακτάται από ένα domain που ελέγχεται από τους Βορειοκορεάτες hackers (“buy2x[.]com”).
Η έρευνα βρίσκεται σε εξέλιξη για την ανακάλυψη περισσότερων λεπτομερειών σχετικά με το macOS malware TodoSwift.
“Η χρήση μιας διεύθυνσης URL του Google Drive και η μετάδοση της διεύθυνσης C2 URL ως launch argument στο binary 2 είναι παρόμοια με προηγούμενο κακόβουλο λογισμικό της Βόρειας Κορέας που επηρεάζει τα συστήματα macOS“, είπε ο Lopez.
Δείτε επίσης: CocoaPods: Εκθέτουν τις εφαρμογές iOS και macOS σε supply chain επιθέσεις
Προστασία από macOS malware
Η Apple προσφέρει κάποιες ενσωματωμένες δυνατότητες ασφαλείας, όπως το Gatekeeper και το XProtect για την πρόληψη κάποιας μόλυνσης.
Αλλά υπάρχουν και κάποιες άλλες μέθοδοι προστασίας:
- Διατηρήστε το λειτουργικό σας σύστημα και το λογισμικό σας ενημερωμένα για να επιδιορθώσετε τυχόν γνωστά τρωτά σημεία
- Να είστε προσεκτικοί κατά τη λήψη και το άνοιγμα συνημμένων ή αρχείων από άγνωστες πηγές
- Χρησιμοποιήστε ένα αξιόπιστο λογισμικό προστασίας από ιούς, ειδικά εάν κάνετε συχνά λήψη αρχείων από το Διαδίκτυο
- Ενεργοποιήστε το FileVault, το οποίο κρυπτογραφεί τα δεδομένα σας και τα προστατεύει σε περίπτωση κλοπής ή μη εξουσιοδοτημένης πρόσβασης
- Δημιουργήστε τακτικά αντίγραφα ασφαλείας των σημαντικών αρχείων σας σε έναν εξωτερικό σκληρό δίσκο
Πηγή: thehackernews.com
