นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้พบมัลแวร์สายพันธุ์ใหม่ใน macOS ชื่อว่า TodoSwift พวกเขาอ้างว่ามีลักษณะร่วมกันกับซอฟต์แวร์อันตรายที่รู้จักซึ่งกลุ่มแฮกเกอร์ในเกาหลีเหนือใช้
Christopher Lopez นักวิจัยด้านความปลอดภัยของ Kandji กล่าวว่า “แอปพลิเคชันนี้มีพฤติกรรมหลายอย่างที่คล้ายกับมัลแวร์ที่เราพบเห็นซึ่งมีต้นกำเนิดในเกาหลีเหนือ (DPRK) โดยเฉพาะตัวการคุกคามที่รู้จักกันในชื่อ BlueNoroff เช่น KANDYKORN และ RustBucket” RustBucket ซึ่งเปิดตัวครั้งแรกในเดือนกรกฎาคม 2023 หมายถึงAppleScript-based backdoor ซึ่งสามารถดึง Next-stage payloads จาก Command-and-control (C2) server ได้
ปลายปีที่แล้ว Elastic Security Labs ยังได้ค้นพบมัลแวร์ของ macOS อีกตัวหนึ่งที่มีชื่อว่า KANDYKORN ซึ่งถูกนำไปใช้ในการโจมตีทางไซเบอร์ที่กำหนดเป้าหมายไปที่วิศวกรบล็อคเชนของ Unnamed cryptocurrency exchange platform ซึ่ง KANDYKORN เป็นระบบที่ส่งผ่านการติดเชื้อหลายขั้นตอนที่ซับซ้อน จึงมีความสามารถในการเข้าถึงและขโมยข้อมูลจากคอมพิวเตอร์ของเหยื่อ นอกจากนี้ยังออกแบบมาเพื่อยุติกระบวนการตามอำเภอใจและดำเนินการคำสั่งบนโฮสต์อีกด้วย ลักษณะทั่วไปที่เชื่อมโยงตระกูลมัลแวร์ทั้งสองเข้าด้วยกันคือการใช้โดเมน linkpc[.]net เพื่อวัตถุประสงค์ C2 ทั้ง RustBucket และ KANDYKORN ประเมินว่าเป็นผลงานของทีมแฮกเกอร์ที่เรียกว่า Lazarus Group (และกลุ่มย่อยที่รู้จักกันในชื่อ BlueNoroff)
ผลการค้นพบล่าสุดจากแพลตฟอร์มการจัดการและความปลอดภัยของอุปกรณ์ของ Apple แสดงให้เห็นว่า TodoSwift ได้รับการเผยแพร่ในรูปแบบของไฟล์ที่ Sign ในชื่อ TodoTasks ซึ่งประกอบด้วย Dropper component โมดูลนี้เป็นแอปพลิเคชัน GUI ที่เขียนด้วย SwiftUI ซึ่งออกแบบมาเพื่อแสดงเอกสาร PDF ที่ถูกแปลงเป็นอาวุธให้เหยื่อเห็น ในขณะเดียวกันก็ดาวน์โหลดและดำเนินการไบนารีขั้นที่สองอย่างลับๆ ซึ่งเป็นเทคนิคที่ใช้ใน RustBucket เช่นกัน PDF ของ Lure เป็นเอกสารที่เกี่ยวข้องกับ Bitcoin ที่ไม่เป็นอันตรายซึ่งโฮสต์อยู่บน Google Drive ในขณะที่เพย์โหลดที่เป็นอันตรายนั้นดึงมาจากโดเมนที่ควบคุมโดยผู้กระทำการ (“buy2x[.]com”) เพย์โหลดได้รับการออกแบบมาเพื่อรวบรวมข้อมูลระบบและเรียกใช้มัลแวร์เพิ่มเติม
“เมื่อติดตั้งแล้ว จะสามารถรวบรวมข้อมูลเกี่ยวกับอุปกรณ์ได้ (รวมถึงเวอร์ชันระบบปฏิบัติการและรุ่นฮาร์ดแวร์)” โลเปซกล่าวกับ The Hacker News “นอกจากนี้ ยังสามารถสื่อสารกับเซิร์ฟเวอร์ Command-and-control (C2) ผ่าน API และสามารถเขียนข้อมูลลงในไฟล์ปฏิบัติการบนอุปกรณ์ได้”
“การใช้ URL ของ Google Drive และส่ง URL ของ C2 เป็นหลักฐานในการเปิดใช้งานไปยังไบนารีขั้นที่ 2 นั้นสอดคล้องกับมัลแวร์ DPRK ก่อนหน้านี้ที่ส่งผลกระทบต่อระบบ macOS”
(เนื้อหานี้ได้รับการอัปเดตหลังจากเผยแพร่เพื่อรวมข้อมูลเกี่ยวกับ Second stage binary)
Source: thehackernews.com
