21 de agosto de 2024Ravie LakshmananMalware / Criptomoneda Los investigadores de ciberseguridad han descubierto una nueva cepa de malware para macOS denominada TodoSwift que, según dicen, presenta puntos en común con el software malicioso conocido que utilizan los grupos de piratas informáticos norcoreanos. «Esta aplicación comparte varios comportamientos con el malware que hemos visto que se originó en Corea del Norte (RPDC), específicamente el actor de amenazas conocido como BlueNoroff, como KANDYKORN y RustBucket», dijo el investigador de seguridad de Kandji, Christopher Lopez, en un análisis. RustBucket, que salió a la luz por primera vez en julio de 2023, se refiere a una puerta trasera basada en AppleScript que es capaz de obtener cargas útiles de la siguiente etapa de un servidor de comando y control (C2). A fines del año pasado, Elastic Security Labs también descubrió otro malware para macOS rastreado como KANDYKORN que se implementó en relación con un ciberataque dirigido a los ingenieros de blockchain de una plataforma de intercambio de criptomonedas sin nombre. KANDYKORN, que se distribuye mediante una sofisticada cadena de infección de varias etapas, posee capacidades para acceder y extraer datos del equipo de la víctima. También está diseñado para finalizar procesos arbitrarios y ejecutar comandos en el host. Un rasgo común que conecta a las dos familias de malware radica en el uso de linkpc[.]dominios de red para fines de C2. Se considera que tanto RustBucket como KANDYKORN son obra de un equipo de piratas informáticos llamado Lazarus Group (y su subgrupo conocido como BlueNoroff). «La RPDC, a través de unidades como Lazarus Group, sigue apuntando a empresas de la industria de las criptomonedas con el objetivo de robar criptomonedas para eludir las sanciones internacionales que obstaculizan el crecimiento de su economía y sus ambiciones», dijo Elastic en ese momento. «En esta intrusión, apuntaron a ingenieros de blockchain activos en un servidor de chat público con un señuelo diseñado para hablar de sus habilidades e intereses, con la promesa subyacente de una ganancia financiera». Los últimos hallazgos de la plataforma de seguridad y gestión de dispositivos de Apple muestran que TodoSwift se distribuye en forma de TodoTasks, que consiste en un componente dropper. Este módulo es una aplicación GUI escrita en SwiftUI que está diseñada para mostrar un documento PDF armado a la víctima, mientras descarga y ejecuta de forma encubierta un binario de segunda etapa, una técnica empleada también en RustBucket. El PDF señuelo es un documento inofensivo relacionado con Bitcoin alojado en Google Drive, mientras que la carga útil maliciosa se recupera de un dominio controlado por el actor («buy2x[.]com»). Siguen en curso más investigaciones sobre los detalles exactos del binario. «El uso de una URL de Google Drive y el paso de la URL de C2 como argumento de lanzamiento al binario de la etapa 2 es consistente con el malware de la DPRK anterior que afectaba a los sistemas macOS», dijo López. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.