RustBucket البرامج الضارة
حدد خبراء الأمن السيبراني شكلاً جديدًا من البرامج الضارة المصممة خصيصًا لاستهداف أجهزة Apple التي تعمل بنظام macOS. يتم استخدام برنامج التهديد هذا ، المعروف باسم RustBucket ، من قبل مجموعة التهديد المستمر المتقدم (APT) المسماة BlueNoroff ، والتي يُعتقد أنها مرتبطة ارتباطًا وثيقًا أو ربما حتى بمجموعة فرعية من مجموعة Lazarus سيئة السمعة.
والجدير بالذكر أن BlueNoroff قد استهدف سابقًا الأنظمة المستندة إلى Windows باستخدام البرامج الضارة التي كانت قادرة على التحايل على بروتوكولات أمان Mark-of-the-Web. يتم إخفاء برنامج macOS الضار المكتشف حديثًا في صورة تطبيق عارض PDF شرعي يسمى "عارض PDF الداخلي" والذي يبدو أنه يعمل كما هو متوقع. ومع ذلك ، في الواقع ، إنها أداة خبيثة تستخدم للوصول غير المصرح به إلى البيانات الحساسة على الأنظمة المخترقة. وأصدرت شركة Jamf لإدارة الأجهزة المحمولة تفاصيل حول التهديد.
جدول المحتويات
يتم تسليم البرامج الضارة RustBucket macOS في مراحل متعددة
تستخدم البرامج الضارة RustBucket نهجًا متعدد المراحل لإصابة أجهزة Mac المستهدفة. المرحلة الأولى عبارة عن تطبيق غير موقع يسمى "عارض PDF الداخلي" ، والذي يقوم ، عند تنفيذه ، بتنزيل المرحلة الثانية من البرنامج الضار من خادم الأوامر والتحكم (C2).
تحمل المرحلة الثانية من البرنامج الضار نفس الاسم - "عارض PDF الداخلي" ، ولكن هذه المرة ، هو تطبيق موقّع تم تصميمه ليبدو كمعرّف حزمة Apple شرعي (com.apple.pdfViewer) وله خاصية مخصصة إمضاء. من خلال تقسيم البرامج الضارة إلى مراحل مختلفة ، تجعل الجهات المهددة عملية التحليل أكثر صعوبة ، خاصة إذا كان خادم C2 غير متصل بالإنترنت.
ملف PDF التالف هو آخر قطعة من عدوى RustBucket
ومع ذلك ، حتى في هذه المرحلة ، لن يقوم RustBucket بتنشيط أي من قدراته الضارة. لتنشيط وظائفه الحقيقية بنجاح على جهاز macOS الذي تم اختراقه ، يجب فتح ملف PDF محدد. يتم إخفاء ملف PDF التالف هذا في هيئة مستند من تسع صفحات يزعم أنه يحتوي على معلومات حول شركات رأس المال الاستثماري التي تسعى إلى الاستثمار في الشركات التقنية الناشئة.
في الواقع ، سيؤدي فتح الملف إلى إكمال سلسلة عدوى RustBucket عن طريق تشغيل حصان طروادة 11.2 ميغابايت والذي تم توقيعه أيضًا بتوقيع مخصص ومكتوب بلغة Rust. يمكن أن يؤدي تهديد حصان طروادة وظائف تدخلية مختلفة ، مثل تنفيذ استطلاع النظام من خلال جمع بيانات النظام الأساسية والحصول على قائمة بالعمليات الجارية حاليًا. يرسل التهديد أيضًا بيانات إلى المهاجمين إذا كان يعمل في بيئة افتراضية.
بدأ مجرمو الإنترنت في التكيف مع نظام macOS البيئي
يسلط استخدام البرامج الضارة من قبل المهاجمين السيبرانيين الضوء على الاتجاه المتزايد الذي أصبح فيه نظام التشغيل macOS هدفًا للجرائم الإلكترونية بشكل متزايد. هذا الاتجاه مدفوع بحقيقة أن مجرمي الإنترنت يدركون أنهم بحاجة إلى تحديث أدواتهم وتكتيكاتهم لتشمل منصة Apple. وهذا يعني أن عددًا كبيرًا من الضحايا المحتملين معرضون لخطر الاستهداف من قبل المهاجمين الذين قاموا بتكييف استراتيجياتهم لاستغلال نقاط الضعف في أنظمة macOS.
