De acordo com o Yahoo News, os hackers da Coreia do Norte estão se tornando uma ameaça online cada vez maior, com diversas campanhas direcionadas aos usuários do macOS. SentinelOne divulgou um relatório na segunda-feira revelando que em 2023, hackers associados à Coreia do Norte conduziram grandes campanhas, RustBucket e KandyKorn, destinadas a usuários de macOS. RustBucket utilizou o malware SwiftLoader como visualizador de PDF para atrair um documento PDF enviado às vítimas, enquanto KandyKorn teve como alvo engenheiros de blockchain de uma plataforma de troca de criptografia usando scripts Python para assumir o controle do aplicativo Discord de um host e instalar um RAT backdoor (trojan de acesso remoto) nos sistemas alvo .
Os criadores de malware estão combinando elementos de software de ambas as campanhas, com o SwiftLoader da RustBucket aparecendo em várias formas, capaz de rodar em hardware Intel e Apple Silicon. Em um caso, uma variante do SwiftLoader foi empacotada em um arquivo chamado ‘Crypto-assets e seus riscos para estabilidade financeira.app.zip’ e tinha vários elementos conectando-o ao KandyKorn. Os pesquisadores têm “confiança média” de que o arquivo .pld usado neste híbrido se refere ao mesmo usado no próprio KandyKorn RAT. A análise do SentinelOne apoia as conclusões de outros investigadores de que os agentes de ameaças ligados à Coreia do Norte tendem a reutilizar a infraestrutura partilhada.
Para se proteger contra malware KandyKorn e RustBucket, os usuários do macOS devem empregar o bom senso e as melhores práticas online, como compreender as fontes de arquivos e aplicativos, não abrir documentos de fontes não confiáveis e ficar atentos às atualizações de segurança. Com o interesse dos hackers no macOS aproximadamente dez vezes maior que em 2019, os usuários de Mac precisam estar mais conscientes do que nunca dos riscos potenciais, apesar dos esforços da Apple para manter um sistema operacional seguro.