Обнаружена новая вредоносная программа для macOS, получившая название TodoSwift и предположительно связанная с северокорейским злоумышленником BlueNoroff (Sapphire Sleet).
TodoSwift маскируется под приложение TodoTasks, которое загружает PDF-файл для пользователя. Однако одновременно с этим он запускает вредоносный вторичный бинарник.
Вредоносная программа использует сложный дроппер, написанный на Swift/SwiftUI, который загружает вредоносную полезную нагрузку. Дроппер также использует URL-адрес Google Drive - подобная тактика встречалась и в других вредоносных программах КНДР.
После загрузки бинарного файла второго этапа дроппер делает его исполняемым и запускает, продолжая тенденцию подобных атак на системы macOS. Дизайн вредоносной программы, имитирующий контент, связанный с биткоином, позволяет предположить, что она используется для кибершпионажа с финансовыми целями, что соответствует предыдущим кампаниям КНДР.
Indicators of Compromise
URLs
- https://drive.usercontent.google.com/download?id=1xflBpAVQrwIS3UQqynb8iEj6gaCIXczo
- http://buy2x.com/OcMySY5QNkY/ABcTDInKWw/4SqSYtx%2B/EKfP7saoiP/BcA%3D%3D
SHA256
- 9623c98f7338d56b07b35cd379e31e685e32a9c5317d7bc4af5276916cef4ed3
- 9b839e9169babff1d14468d9f8497c165931dc65d5ff1f4b547925ff924c43fe
- c52e3e73d7870bf8edc1b9ae52b26c08ef2466f948ef3446b2c865fd53d859dd
- e09d2277a19dddd751edb164bde064682a6acc41a7ee178a2dacd4f9ac357fc7
- f1b3ce96462027644f9caa314d3da745dab139ee1cb14fe508234e76bd686f93