Новый macOS-вирус TodoSwift маскируется под PDF-загрузчик и угрожает безопасности пользователей

Что такое TodoSwift?

TodoSwift - это macOS-бекдор, который притворяется PDF-загрузчиком, но на самом деле загружает и запускает второй этап вредоносной нагрузки. Эксперты связывают его с хакерской группировкой BlueNoroff, которая, как предполагается, действует в интересах Северной Кореи (КНДР).

Почему это важно?

Зловреды для macOS встречаются реже, чем для Windows, а написанные на Swift - вообще редкость. Это показывает, как злоумышленники адаптируют свои инструменты под нативные практики разработки Apple, чтобы усложнить обнаружение. В случае TodoSwift используется подписанный файл под названием TodoTasks, который был загружен на VirusTotal 24 июля 2024 года. Его поведение схоже с предыдущими атаками BlueNoroff, такими как KandyKorn и RustBucket.

Как работает TodoSwift?

Приложение использует графический интерфейс (GUI), написанный на Swift/SwiftUI. Под видом загрузки PDF-файла оно незаметно скачивает и запускает вредоносный бинарный файл. Весь процесс начинается с метода makeWindowControllers, который инициирует работу с документом TodoTaskDocument. Далее происходит следующее:

1. Загрузка вредоносного PDF

Приложение создает NSTask, который выполняет команду curl, скачивая PDF с Google Drive. Файл сохраняется в "/tmp/GoogleMsgStatus.pdf" и открывается через NSWorkspace - это придает легитимность, поскольку пользователь видит документ о прогнозах цен на Bitcoin.

2. Загрузка второго этапа

Параллельно с PDF запускается еще одна curl-команда, которая загружает исполняемый файл NetMsgStatus в "/tmp/". В этом запросе также передается строка pw, которая, вероятно, служит ключом для сервера злоумышленников.

3. Запуск вредоносного файла

После загрузки программа меняет права доступа ("chmod 777") и запускает NetMsgStatus с аргументом - URL вредоносного сервера. Такое поведение ранее отмечалось в других атаках DPRK.

Вывод

TodoSwift - очередное подтверждение того, что атакующие группы активно развивают инструментарий для macOS, используя нативные технологии Apple. В данном случае хакеры прикрываются темой криптовалют, что соответствует прошлым аппетитам северокорейских группировок. Пользователям Mac стоит внимательно проверять источники скачиваемых файлов и использовать системы мониторинга для выявления подозрительной активности.

URLs

• http://buy2x.com/OcMySY5QNkY/ABcTDInKWw/4SqSYtx%2B/EKfP7saoiP/BcA%3D%3D
• https://drive.usercontent.google.com/download?id=1xflBpAVQrwIS3UQqynb8iEj6gaCIXczo

SHA256

• 9623c98f7338d56b07b35cd379e31e685e32a9c5317d7bc4af5276916cef4ed3
• 9b839e9169babff1d14468d9f8497c165931dc65d5ff1f4b547925ff924c43fe
• a55029c963ff454e42483b9b6f0293dc546e06b2fb71e6ebaa4c6f146a9906a3
• c52e3e73d7870bf8edc1b9ae52b26c08ef2466f948ef3446b2c865fd53d859dd
• e09d2277a19dddd751edb164bde064682a6acc41a7ee178a2dacd4f9ac357fc7
• e132f74231954cb91d7c83c8cbb92626baa55d5db99ace2f7853943a8bd2dcfe
• f1b3ce96462027644f9caa314d3da745dab139ee1cb14fe508234e76bd686f93