Des chercheurs en cybersécurité ont découvert une nouvelle souche de malware macOS baptisée TodoSwift qui, selon eux, présente des points communs avec des logiciels malveillants connus utilisés par des groupes de pirates informatiques nord-coréens.
« Cette application partage plusieurs comportements avec les logiciels malveillants que nous avons vus et qui proviennent de Corée du Nord (RPDC) — en particulier l’acteur malveillant connu sous le nom de BlueNoroff — tels que KANDYKORN et RustBucket », a déclaré Christopher Lopez, chercheur en sécurité à Kandji. dit dans une analyse.
RustBucket, qui est apparu pour la première fois en juillet 2023, fait référence à une porte dérobée basée sur AppleScript capable de récupérer les charges utiles de l’étape suivante à partir d’un serveur de commande et de contrôle (C2).
À la fin de l’année dernière, Elastic Security Labs a également découvert un autre malware macOS appelé KANDYKORN qui a été déployé dans le cadre d’une cyberattaque ciblant les ingénieurs blockchain d’une plateforme d’échange de crypto-monnaie anonyme.
Transmis par le biais d’une chaîne d’infection sophistiquée à plusieurs étapes, KANDYKORN possède la capacité d’accéder aux données de l’ordinateur d’une victime et de les exfiltrer. Il est également conçu pour mettre fin à des processus arbitraires et exécuter des commandes sur l’hôte.
Un trait commun qui relie les deux familles de logiciels malveillants réside dans l’utilisation de linkpc[.]net à des fins de C2. RustBucket et KANDYKORN sont tous deux considérés comme étant le travail d’une équipe de hackers appelée Lazarus Group (et son sous-groupe connu sous le nom de BlueNoroff).
« La RPDC, via des unités comme le groupe Lazarus, continue de cibler les entreprises de l’industrie de la crypto-monnaie dans le but de voler des crypto-monnaies afin de contourner les sanctions internationales qui entravent la croissance de leur économie et de leurs ambitions », avait déclaré Elastic à l’époque.
« Dans cette intrusion, ils ont ciblé des ingénieurs blockchain actifs sur un serveur de chat public avec un leurre conçu pour parler de leurs compétences et de leurs intérêts, avec la promesse sous-jacente d’un gain financier. »
Les dernières découvertes de la plateforme de gestion et de sécurité des appareils Apple montrent que TodoSwift est distribué sous la forme d’un fichier signé nommé TodoTasks, qui se compose d’un composant dropper.
Ce module est une application GUI écrite en SwiftUI conçue pour afficher un document PDF militarisé à la victime, tout en téléchargeant et en exécutant secrètement un binaire de deuxième étape, une technique également utilisée dans RustBucket.
Le PDF leurre est un document inoffensif lié au Bitcoin hébergé sur Google Drive, tandis que la charge utile malveillante est récupérée à partir d’un domaine contrôlé par un acteur (« buy2x[.]com »). Une enquête plus approfondie sur les spécificités exactes du binaire reste en cours.
« L’utilisation d’une URL Google Drive et la transmission de l’URL C2 comme argument de lancement au binaire de l’étape 2 sont cohérentes avec les précédents malwares de la RPDC affectant les systèmes macOS », a déclaré Lopez.