Article sur un nouveau malware macOS lié à des groupes de hackers Nord-Coréens
Des chercheurs en cybersécurité ont découvert une nouvelle souche de logiciel malveillant macOS appelée TodoSwift, qui présente des similitudes avec des logiciels malveillants connus utilisés par des groupes de hackers nord-coréens.
Les comportements communs avec des logiciels malveillants d’origine nord-coréenne
« Cette application partage plusieurs comportements avec des logiciels malveillants que nous avons déjà identifiés comme provenant de la Corée du Nord (RPDC) – en particulier l’acteur de menace connu sous le nom de BlueNoroff – tels que KANDYKORN et RustBucket », a déclaré l’analyste de sécurité de Kandji, Christopher Lopez.
RustBucket, qui a été révélé pour la première fois en juillet 2023, fait référence à une porte dérobée basée sur AppleScript capable de récupérer des charges utiles de la prochaine étape à partir d’un serveur de commande et de contrôle (C2).
Les capacités du malware KANDYKORN
L’année dernière, Elastic Security Labs a également découvert un autre logiciel malveillant macOS nommé KANDYKORN, déployé dans le cadre d’une attaque informatique ciblant des ingénieurs en blockchain d’une plateforme d’échange de cryptomonnaies non divulguée.
Délivrée par le biais d’une chaîne d’infection multi-étapes sophistiquée, KANDYKORN a la capacité d’accéder et d’exfiltrer des données à partir de l’ordinateur de la victime. Il est également conçu pour mettre fin à des processus arbitraires et exécuter des commandes sur l’hôte.
Les objectifs de ces attaques
Une caractéristique commune entre les deux familles de logiciels malveillants réside dans l’utilisation de domaines linkpc[.]net à des fins de C2. RustBucket et KANDYKORN sont tous deux attribués à un groupe de hackers appelé le Lazarus Group (et son sous-groupe connu sous le nom de BlueNoroff).
Les dernières découvertes de la plateforme de gestion et de sécurité des appareils Apple montrent que TodoSwift est distribué sous forme de TodoTasks, qui comprend un composant de livraison.
La technique de propagation de TodoSwift
Ce module est une application GUI écrite en SwiftUI conçue pour afficher un document PDF truqué à la victime, tout en téléchargeant et exécutant secrètement un binaire de deuxième étape, une technique également utilisée dans RustBucket.
Le PDF leurre est un document innocent lié au Bitcoin hébergé sur Google Drive, tandis que la charge utile malveillante est récupérée à partir d’un domaine contrôlé par un acteur (« buy2x[.]com »). Des investigations supplémentaires sur les spécificités exactes du binaire sont en cours.
Si cet article vous a intéressé, suivez-nous sur Twitter et LinkedIn pour lire plus de contenus exclusifs que nous publions.
Source : thehackernews.com