TodoSwift Dropper IOCs

security IOC

Обнаружена новая вредоносная программа для macOS, получившая название TodoSwift и предположительно связанная с северокорейским злоумышленником BlueNoroff (Sapphire Sleet).


TodoSwift маскируется под приложение TodoTasks, которое загружает PDF-файл для пользователя. Однако одновременно с этим он запускает вредоносный вторичный бинарник.

Вредоносная программа использует сложный дроппер, написанный на Swift/SwiftUI, который загружает вредоносную полезную нагрузку. Дроппер также использует URL-адрес Google Drive - подобная тактика встречалась и в других вредоносных программах КНДР.

После загрузки бинарного файла второго этапа дроппер делает его исполняемым и запускает, продолжая тенденцию подобных атак на системы macOS. Дизайн вредоносной программы, имитирующий контент, связанный с биткоином, позволяет предположить, что она используется для кибершпионажа с финансовыми целями, что соответствует предыдущим кампаниям КНДР.

Indicators of Compromise

URLs

  • https://drive.usercontent.google.com/download?id=1xflBpAVQrwIS3UQqynb8iEj6gaCIXczo
  • http://buy2x.com/OcMySY5QNkY/ABcTDInKWw/4SqSYtx%2B/EKfP7saoiP/BcA%3D%3D

SHA256

  • 9623c98f7338d56b07b35cd379e31e685e32a9c5317d7bc4af5276916cef4ed3
  • 9b839e9169babff1d14468d9f8497c165931dc65d5ff1f4b547925ff924c43fe
  • c52e3e73d7870bf8edc1b9ae52b26c08ef2466f948ef3446b2c865fd53d859dd
  • e09d2277a19dddd751edb164bde064682a6acc41a7ee178a2dacd4f9ac357fc7
  • f1b3ce96462027644f9caa314d3da745dab139ee1cb14fe508234e76bd686f93
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий