RustBucket Malware
Pakar keselamatan siber telah mengenal pasti bentuk baru perisian hasad yang direka khusus untuk menyasarkan peranti Apple yang menjalankan macOS. Perisian mengancam ini, dikenali sebagai RustBucket, sedang digunakan oleh kumpulan ancaman berterusan (APT) lanjutan yang dipanggil BlueNoroff, yang dipercayai berkait rapat dengan atau mungkin juga sub-kumpulan kumpulan Lazarus yang terkenal.
Terutama, BlueNoroff sebelum ini telah menyasarkan sistem berasaskan Windows menggunakan perisian hasad yang dapat memintas protokol keselamatan Mark-of-the-Web. Malware macOS yang baru ditemui menyamar sebagai aplikasi pemapar PDF yang sah dipanggil 'Pemapar PDF Dalaman' yang kelihatan berfungsi seperti yang diharapkan. Walau bagaimanapun, pada hakikatnya, ia adalah alat berbahaya yang digunakan untuk mendapatkan akses tanpa kebenaran kepada data sensitif pada sistem yang terjejas. Butiran mengenai ancaman itu dikeluarkan oleh Jamf, sebuah syarikat pengurusan peranti mudah alih.
Isi kandungan
RustBucket macOS Malware Dihantar dalam Pelbagai Peringkat
Malware RustBucket menggunakan pendekatan berbilang peringkat untuk menjangkiti peranti Mac yang disasarkan. Peringkat pertama ialah aplikasi yang tidak ditandatangani dipanggil 'Pemapar PDF Dalaman,' yang, selepas pelaksanaan, memuat turun peringkat kedua perisian hasad daripada pelayan Perintah-dan-Kawalan (C2).
Peringkat kedua perisian hasad membawa nama yang sama - 'Pemapar PDF Dalaman,' tetapi kali ini, ia adalah aplikasi bertandatangan yang direka bentuk untuk kelihatan seperti pengecam bundle Apple yang sah (com.apple.pdfViewer) dan mempunyai ad-hoc tandatangan. Dengan membahagikan perisian hasad kepada peringkat yang berbeza, pelaku ancaman menjadikannya lebih sukar untuk dianalisis, terutamanya jika pelayan C2 pergi ke luar talian.
Fail PDF yang rosak ialah Bahagian Terakhir Jangkitan RustBucket
Walau bagaimanapun, walaupun pada peringkat ini, RustBucket tidak akan mengaktifkan sebarang keupayaan berniat jahatnya. Untuk berjaya mengaktifkan fungsi sebenar pada peranti macOS yang dilanggar, fail PDF tertentu mesti dibuka. Fail PDF yang rosak ini menyamar sebagai dokumen sembilan muka surat yang kononnya mengandungi maklumat tentang firma modal teroka yang ingin melabur dalam syarikat permulaan teknikal.
Pada hakikatnya, membuka fail akan melengkapkan rantaian jangkitan RustBucket dengan mencetuskan pelaksanaan Trojan 11.2 MB yang juga ditandatangani dengan tandatangan ad-hoc dan ditulis dalam Rust. Ancaman Trojan boleh melakukan pelbagai fungsi mengganggu, seperti menjalankan peninjauan sistem dengan mengumpul data sistem asas dan mendapatkan senarai proses yang sedang berjalan. Ancaman itu juga menghantar data kepada penyerang jika ia berjalan dalam persekitaran maya.
Penjenayah Siber Mula Menyesuaikan Diri dengan Ekosistem macOS
Penggunaan perisian hasad oleh penyerang siber menyerlahkan trend yang semakin meningkat di mana sistem pengendalian macOS semakin menjadi sasaran jenayah siber. Trend ini didorong oleh fakta bahawa penjenayah siber menyedari bahawa mereka perlu mengemas kini alat dan taktik mereka untuk memasukkan platform Apple. Ini bermakna bahawa sejumlah besar bakal mangsa berisiko disasarkan oleh penyerang yang telah menyesuaikan strategi mereka untuk mengeksploitasi kelemahan sistem macOS.
