TodoSwift: яблочная техника вновь оказалась на мушке киберзлодеев

Исследователи в области кибербезопасности обнаружили новую вредоносную программу для macOS под названием TodoSwift, которая, по их мнению, имеет общие черты с известными вредоносными программами, используемыми хакерскими группировками из Северной Кореи.

Как отмечает Кристофер Лопес, исследователь безопасности компании Kandji, приложение TodoSwift демонстрирует явные сходства с другими вредоносными программами, такими как KANDYKORN и RustBucket, которые связываются с активностью северокорейской хакерской группировки BlueNoroff, являющейся подразделением известной Lazarus Group.

RustBucket, впервые выявленный специалистами из Elastic Security Labs в июле 2023 года, представляет собой бэкдор на базе AppleScript, который способен загружать дополнительные вредоносные компоненты с сервера управления (C2). А в ноябре того же года исследователи обнаружили другой вредоносный софт для macOS под названием KANDYKORN, использовавшийся в кибератаке на инженеров, работающих в сфере блокчейна.

KANDYKORN, распространяемый через сложную многоступенчатую цепочку заражения, обладает способностью к доступу и эксфильтрации данных с компьютера жертвы. Он может завершать произвольные процессы и выполнять команды на заражённом устройстве.

Общая черта, связывающая эти две вредоносные программы, заключается в использовании доменов «linkpc[.]net» для C2-серверов. Оба вредоносных ПО, по оценкам экспертов, являются продуктом деятельности группировки Lazarus и её подразделения BlueNoroff.

Северная Корея, используя такие подразделения, как Lazarus Group, продолжает целенаправленно атаковать компании, работающие в криптоиндустрии, с целью кражи криптовалют для обхода международных санкций, которые препятствуют развитию их экономики, отметили в Elastic.

Новые данные, предоставленные компанией Kandji, показывают, что TodoSwift распространяется в виде подписанного файла под названием TodoTasks, включающего компонент-загрузчик. Это графическое приложение, написанное на SwiftUI, предназначено для отображения PDF-документа, при этом скрытно загружая и выполняя второй вредоносный компонент, что сильно напоминает технику, использованную в RustBucket.

PDF-файл, используемый для заманивания жертв, представляет собой безобидный документ о Bitcoin, размещённый на Google Drive, в то время как вредоносная нагрузка загружается с домена, контролируемого злоумышленниками. Эта вредоносная программа предназначена для сбора информации о системе и запуска дополнительного вредоносного ПО.

После установки TodoSwift собирает данные об устройстве, включая версию операционной системы и модель оборудования, и взаимодействует с C2-сервером через API, также записывая данные в исполняемый файл на устройстве.

Использование URL-адреса Google Drive и передача URL-адреса C2-сервера в качестве аргумента запуска для второго этапа вредоносной программы соответствует предыдущим атакам северокорейских хакеров на системы macOS.

Этот случай подчёркивает необходимость перманентной бдительности в цифровом мире. Киберпреступники постоянно совершенствуют свои методы, используя сложные техники и маскируя вредоносное ПО под безобидные приложения.

Пользователям и организациям следует критически относиться к любому новому программному обеспечению, регулярно обновлять системы безопасности и проводить обучение по кибербезопасности. Только комплексный подход к защите может эффективно противостоять растущим угрозам в современном технологическом ландшафте.