PDF indiricisi gibi görünen kötü amaçlı bir uygulama olan TodoSwift ile tanışın. BlueNoroff tehdit grubu tarafından tasarlanan TodoSwift, Bitcoin’de sahte bir PDF sunmak ve gizlice kötü amaçlı bir yükü indirmek için Apple’ın Swift/SwiftUI’sini kullanır. Aldanmayın! Bu kurnaz kötü amaçlı yazılım hakkında bilgi sahibi olun.
macOS kullanıcılarını hedef alan yeni bir kötü amaçlı yazılım ve güvenlik açığı dalgası keşfedildi, bu sefer görünüşte zararsız, indirilebilir bir Bitcoin PDF’i olarak gizlenmiş. Kandji’deki araştırmacılar, Swift/SwiftUI’da yazıldığı için TodoSwift adını verdikleri kötü amaçlı yazılımı tespit ettiler.
Kandji’nin raporunda, kötü amaçlı yazılımın 24 Temmuz 2024’te VirusTotal’a yüklenen TodoTasks adlı bir dosyada gizlendiği ortaya çıktı.
Daha fazla araştırma, TodoTasks’ın kötü niyetli amacını gizlemek için Swift/SwiftUI’de yazılmış bir GUI uygulamasından yararlandığını ortaya çıkardı. Uygulama, PDF’leri indirmek ve görüntülemek için bir araç olarak kendini sunuyor. Ancak, yüzeyin altında TodoTasks daha kötü bir amaç kullanıyor.
Gerçekte, kötü amaçlı yazılım gizlice ikincil bir kötü amaçlı programı indirir ve çalıştırır. Bu iki adımlı yaklaşım, ilk uygulama meşru görünebileceğinden, tespit edilmesini daha da zorlaştırır.
Her şey, kötü amaçlı yazılımın kötü amaçlı davranışını yürütmek için kullanılan makeWindowControllers yöntemi aracılığıyla bir pencere denetleyici nesnesi oluşturmakla başlar. Daha sonra damlatıcı, bellekten iki URL alan bir PDF sunum işlevini çağırır: biri Google Drive bağlantısına işaret eder ve diğeri kötü amaçlı olduğundan şüphelenilir.
buildCurlCommand, içeriği indirmek için callToCurl işlevini kullanır, “Makine Öğrenimi Kullanarak Bitcoin Fiyat Tahmini” adlı bir PDF dosyası. PDF zararsız görünür ancak kullanıcıyı oyalamak için bir aldatmaca görevi görür. PDF’yi sunduktan sonra buildCurlCommand, muhtemelen ikinci URL’den kötü amaçlı yükün indirilmesini tetikleyen başka bir curl komutunu yürütür.
Araştırmacılar, daha önce gözlemlenen KandyKorn ve RustBucket gibi kötü amaçlı yazılımlarla benzerlikleri nedeniyle kötü amaçlı yazılımın Kuzey Koreli tehdit grubu BlueNoroff’a ait olduğunu ileri sürdü.
BlueNoroff, Lazarus adlı daha büyük Kuzey Kore devlet destekli grubun bir alt grubudur ve finansal kurumları, kripto para borsalarını ve hükümet kuruluşlarını sürekli hedef almasıyla bilinir. Son zamanlarda, BlueNoroff tespit edilmekten kaçınma ve karmaşık siber saldırılar gerçekleştirme konusunda gelişmiş bir yetenek göstermiştir.
2019’da ABD Hazine Bakanlığı, yasadışı silah ve füze programlarına destek iddiasıyla kritik altyapılardaki siber faaliyetleri nedeniyle üç Kuzey Kore siber grubu olan Lazarus, Bluenoroff ve Andariel’e yaptırım uyguladı. Ancak grup, kalıcı bir tehdit olmaya devam ediyor.
TodoSwift veya benzeri kötü amaçlı yazılım indirmiş olabileceğinizden şüpheleniyorsanız, saygın bir antivirüs programı kullanarak cihazınızda kapsamlı bir güvenlik taraması çalıştırmanız önerilir. Ayrıca, bilgili kalmayı ve güvenli tarama alışkanlıkları edinmeyi düşünün.
İLGİLİ KONULAR
- Apple Safari En Güvenli, Google Chrome En Riskli Tarayıcı
- Apple Kısayolları Güvenlik Açığı Hassas Verileri Açığa Çıkarıyor
- Bluetooth Açığı macOS ve iOS’ta Tuş Vuruşu Enjeksiyonunu Etkinleştiriyor
- Yeni Truva Atı Proxy Kötü Amaçlı Yazılımıyla Dolu Kırık macOS Yazılımı
- Facebook, Apple ve Amazon Sahtekarlıklarda En Çok Taklit Edilen Şirketler