Investigadores de ciberseguridad han descubierto una nueva cepa de malware para macOS denominada TodoSwift que, según dicen, presenta puntos en común con software malicioso conocido utilizado por grupos de piratas informáticos norcoreanos.
«Esta aplicación comparte varios comportamientos con el malware que hemos visto que se originó en Corea del Norte (RPDC), específicamente el actor de amenazas conocido como BlueNoroff, como KANDYKORN y RustBucket», dijo el investigador de seguridad de Kandji, Christopher López. dicho en un análisis.
RustBucket, que salió a la luz por primera vez en julio de 2023, se refiere a una puerta trasera basada en AppleScript que es capaz de obtener cargas útiles de la siguiente etapa de un servidor de comando y control (C2).
A fines del año pasado, Elastic Security Labs también descubrió otro malware para macOS identificado como KANDYKORN que se implementó en relación con un ciberataque dirigido a ingenieros de blockchain de una plataforma de intercambio de criptomonedas no identificada.
KANDYKORN se distribuye mediante una sofisticada cadena de infección de varias etapas y posee la capacidad de acceder y extraer datos del equipo de la víctima. También está diseñado para finalizar procesos arbitrarios y ejecutar comandos en el host.
Un rasgo común que conecta a las dos familias de malware radica en el uso de linkpc[.]dominios de red para fines de C2. Se considera que tanto RustBucket como KANDYKORN son obra de un grupo de piratas informáticos llamado Lazarus Group (y su subgrupo conocido como BlueNoroff).
«La RPDC, a través de unidades como el Grupo Lazarus, continúa atacando a empresas de la industria criptográfica con el objetivo de robar criptomonedas para eludir las sanciones internacionales que obstaculizan el crecimiento de su economía y sus ambiciones», dijo Elastic en ese momento.
«En esta intrusión, apuntaron a ingenieros de blockchain activos en un servidor de chat público con un señuelo diseñado para hablar de sus habilidades e intereses, con la promesa subyacente de una ganancia financiera».
Los últimos hallazgos de la plataforma de seguridad y gestión de dispositivos de Apple muestran que TodoSwift se distribuye en forma de un archivo firmado llamado TodoTasks, que consta de un componente cuentagotas.
Este módulo es una aplicación GUI escrita en SwiftUI que está diseñada para mostrar un documento PDF armado a la víctima, mientras descarga y ejecuta de forma encubierta un binario de segunda etapa, una técnica empleada también en RustBucket.
El PDF señuelo es un documento inofensivo relacionado con Bitcoin alojado en Google Drive, mientras que la carga útil maliciosa se recupera de un dominio controlado por el actor («buy2x[.]com»). Se siguen realizando investigaciones adicionales sobre los detalles exactos del binario.
«El uso de una URL de Google Drive y el paso de la URL C2 como argumento de lanzamiento al binario de etapa 2 es consistente con el malware anterior de la RPDC que afectaba a los sistemas macOS», dijo López.