Novo malware macOS TodoSwift vinculado a grupos de hackers norte-coreanos

agosto 21, 2024 Alan Segurança 0

Novo malware macOS TodoSwift está associado a hackers norte-coreanos

Pesquisadores de segurança cibernética identificaram um malware inédito para macOS denominado TodoSwift, que exibe semelhanças com ferramentas maliciosas anteriormente utilizadas por hackers da Coreia do Norte. Segundo Christopher Lopez, pesquisador da Kandji, o malware compartilha características com ameaças como BlueNoroff, KANDYKORN e RustBucket – um backdoor AppleScript que surgiu em julho de 2023 e busca cargas úteis adicionais de um servidor de comando e controle (C2).

O Elastic Security Labs encontrou outro software mal-intencionado, o KANDYKORN, no final do ano passado, vinculado a um ataque direcionado a engenheiros de blockchain de uma plataforma de troca de criptomoedas não revelada. O KANDYKORN, entregue através de uma cadeia de infecção multiestágio, permite acesso e exfiltração de dados, encerramento de processos e execução de comandos no sistema infectado.

Ambas as famílias de malware usam domínios linkpc(.)net para atividades C2 e suspeita-se que sejam obras do Lazarus Group, incluindo seu subgrupo BlueNoroff. Essas unidades continuam alvejando o setor de criptomoedas para contornar sanções econômicas internacionais, como observou a Elastic.

O TodoSwift é distribuído como um “TodoTasks”, inclusive com um componente dropper. Este módulo, uma aplicação GUI feita em SwiftUI, exibe um documento PDF como fachada enquanto secretamente baixa e executa um binário secundário, método também visto no RustBucket. O documento PDF, um arquivo aparentemente inofensivo sobre Bitcoin hospedado no Google Drive, oculta a carga maliciosa extraída de um domínio controlado pelo atacante (“buy2x(.)com”), com investigações adicionais sobre o binário ainda em andamento.

Lopez destaca que a utilização de um link do Google Drive e a passagem da URL C2 como argumento de inicialização para o binário de segundo estágio acomodam-se ao padrão de ataques preliminares da Coreia do Norte que afetam sistemas macOS.

Para ler mais artigos interessantes, siga-nos no Twitter e LinkedIn. Continue acompanhando o TecMania para se manter atualizado.

Sobre Alan 10421 Artigos
Apaixonado por tecnologia e viciado em séries, que escreve para o TecMania nas horas vagas. Jogador amador de Fortnite que nunca aprendeu a construir no game rs.