Un nuovo malware per macOS è stato scoperto da un gruppo di ricercatori di cybersicurezza: si chiama TodoSwift e condivide molti aspetti con altri software malevoli già noti, usati principalmente da gruppi di hacker nordcoreani.
Christopher Lopez, ricercatore di sicurezza di Kandji, ha dichiarato: "Questa applicazione condivide diversi comportamenti con malware che abbiamo visto originare dalla Corea del Nord, in particolare dal gruppo di minaccia noto come BlueNoroff, come KANDYKORN e RustBucket".
TodoSwift viene distribuito come un file firmato chiamato TodoTasks, che contiene un componente dropper. Si tratta di un'applicazione GUI scritta in SwiftUI progettata per mostrare alla vittima un documento PDF dannoso, mentre scarica ed esegue segretamente un binario.
Il payload malevolo viene invece recuperato da un dominio controllato dagli hacker ed è progettato per raccogliere informazioni sul sistema, oltre che eseguire ulteriori malware.
Una volta installato, TodoSwift è in grado di:
- Raccogliere informazioni sul dispositivo (inclusi versione del sistema operativo e modello hardware);
- Comunicare con il server command-and-control (C2) tramite API;
- Scrivere dati in un file eseguibile sul dispositivo.
Questo nuovo malware mostra collegamenti con RustBucket, un backdoor basato su AppleScript scoperto a luglio 2023, e KANDYKORN, un altro malware macOS utilizzato in un attacco contro ingegneri blockchain di una piattaforma di scambio di criptovalute non identificata.
Entrambi questi malware sono attribuiti al Gruppo Lazarus e al suo sottogruppo BlueNoroff, noti gruppi di hacker nordcoreani. L'obiettivo di questi attacchi sembra essere il furto di criptovalute per aggirare le sanzioni internazionali che ostacolano la crescita economica della Corea del Nord.