Специалисты по информационной безопасности сообщили об обнаружении новой разновидности вредоносного программного обеспечения для операционной системы macOS под названием TodoSwift. Этот вирус, как подчёркивают эксперты, во многом схож с другими известными вирусами, связанными с северокорейскими хакерскими группировками.

Эксперт компании Kandji Кристофер Лопес рассказал журналистам, что программа TodoSwift схожа с другими видами вредоносного ПО, такими как KANDYKORN и RustBucket, использование которых давно связывают с активностью хакерской группы BlueNoroff из КНДР.

Специалисты также указывают, что северокорейские хакерские группировки проводят атаки, направленные против пользователей операционной системы macOS, преимущественно против различных компаний, работающих в сфере криптовалютной индустрии. Целью этих атак является кража криптовалютных активов для обхода международных санкций, препятствующих развитию экономики КНДР.

Согласно результатам исследования, проведённого компанией Kandji, распространение вредоносного программного обеспечения TodoSwift осуществляется через подписанный файл под названием TodoTasks, внутри которого находится компонент-загрузчик. Это графическое приложение, написанное на языке SwiftUI, используется для отображения PDF-документов. Однако, если пользователь открывает это приложение, программа незаметно скачивает и выполняет ещё один вредоносный компонент.

PDF-файл, применяемый для заманивания пользователей, представлен в виде стандартного документа о Bitcoin, размещённого в облачном хранилище Google Drive. При этом загрузка вредоносной нагрузки осуществляется с домена, контролируемого хакерами. Этот вредонос предназначен для сбора данных о системе и запуска дополнительного вредоносного ПО.

После установки на пользовательское устройство, TodoSwift начинает сбор информации об устройстве, включая данные о модели оборудования и версии операционной системы. Затем программа взаимодействует с сервером управления и контроля киберпреступников через API, одновременно записывая информацию в исполняемый файл на устройстве.


Ещё по теме: