Logiciel malveillant TodoSwift pour Mac

Par Mezo en Logiciels malveillants, Menace persistante avancée (APT)

Se traduisent par :

Des chercheurs en cybersécurité ont découvert une nouvelle souche du malware macOS appelée TodoSwift, qui partage des caractéristiques avec des malwares connus liés à des groupes de pirates informatiques nord-coréens.

Cette application présente plusieurs comportements similaires aux logiciels malveillants précédemment attribués à la Corée du Nord (RPDC), en particulier le groupe de menaces BlueNoroff, qui est associé à des logiciels malveillants tels que KANDYKORN et RustBucke . RustBucket, signalé pour la première fois en juillet 2023, est une porte dérobée basée sur AppleScript conçue pour récupérer des charges utiles supplémentaires à partir d'un serveur de commande et de contrôle (C2).

Table des matières

Menaces de logiciels malveillants liées à la Corée du Nord

À la fin de l’année dernière, les chercheurs ont découvert un autre malware macOS connu sous le nom de KANDYKORN, qui a été utilisé dans une cyberattaque ciblant les ingénieurs blockchain d’une bourse de crypto-monnaie anonyme.

KANDYKORN est transmis via une chaîne d'infection complexe à plusieurs étapes et est équipé pour accéder aux données de l'ordinateur de la victime et les extraire. De plus, il peut mettre fin à des processus arbitraires et exécuter des commandes sur le système hôte.

Une similitude essentielle entre les deux familles de malwares est leur utilisation des domaines linkpc.net pour les opérations de commande et de contrôle (C2). RustBucket et KANDYKORN seraient tous deux l'œuvre du groupe Lazarus , y compris de son sous-groupe connu sous le nom de BlueNoroff.

La Corée du Nord, par l’intermédiaire de groupes comme le groupe Lazarus, continue de cibler les entreprises du secteur des cryptomonnaies dans le but de récolter des cryptomonnaies pour contourner les sanctions internationales qui restreignent leur croissance économique et leurs ambitions.

Chaîne d'attaque TodoSwift

Dans l'attaque TodoSwift, les acteurs malveillants ont ciblé les ingénieurs blockchain sur un serveur de chat public avec un leurre adapté à leurs compétences et intérêts, promettant des récompenses financières.

Des découvertes récentes révèlent que TodoSwift est distribué sous la forme d'un fichier signé nommé TodoTasks, qui contient un composant dropper. Ce composant est une application GUI construite avec SwiftUI, conçue pour présenter un document PDF militarisé à la victime tout en téléchargeant et en exécutant secrètement un binaire de deuxième étape, une technique également utilisée par RustBucket.

Le leurre PDF est un document bénin lié au Bitcoin hébergé sur Google Drive, tandis que la charge utile menaçante est récupérée à partir d'un domaine contrôlé par un acteur, « buy2x.com ». Cette charge utile est conçue pour collecter des informations système et déployer des logiciels malveillants supplémentaires.

Une fois installé, le malware peut collecter des informations sur l'appareil, telles que la version du système d'exploitation et le modèle de matériel, communiquer avec le serveur de commande et de contrôle (C2) via une API et écrire des données dans un fichier exécutable sur l'appareil. L'utilisation d'une URL Google Drive pour le leurre et la transmission de l'URL C2 comme argument de lancement au binaire de deuxième étape s'alignent sur les tactiques observées dans les précédents malwares de la RPDC ciblant les systèmes macOS.