Зловреден софтуер RustBucket
Експерти по киберсигурност идентифицираха нова форма на злонамерен софтуер, който е специално проектиран да насочва към устройства на Apple, работещи с macOS. Този заплашителен софтуер, известен като RustBucket, се използва от група за усъвършенствани постоянни заплахи (APT), наречена BlueNoroff, за която се смята, че е тясно свързана с или евентуално дори подгрупа на прословутата група Lazarus .
Трябва да се отбележи, че преди това BlueNoroff се е насочвал към Windows-базирани системи, използвайки зловреден софтуер, който е успял да заобиколи протоколите за сигурност Mark-of-the-Web. Новооткритият злонамерен софтуер на macOS е маскиран като легитимно приложение за преглед на PDF, наречено „Internal PDF Viewer“, което изглежда функционира според очакванията. В действителност обаче това е коварен инструмент, използван за получаване на неоторизиран достъп до чувствителни данни на компрометирани системи. Подробности за заплахата бяха публикувани от Jamf, компания за управление на мобилни устройства.
Съдържание
Зловреден софтуер RustBucket macOS се доставя на няколко етапа
Зловреден софтуер RustBucket използва многоетапен подход за заразяване на целевите Mac устройства. Първият етап е неподписано приложение, наречено „Internal PDF Viewer“, което при изпълнение изтегля втория етап на зловреден софтуер от сървър за командване и управление (C2).
Вторият етап на злонамерения софтуер носи същото име - „Вътрешен PDF Viewer“, но този път това е подписано приложение, което е проектирано да изглежда като легитимен идентификатор на пакет на Apple (com.apple.pdfViewer) и има ad-hoc подпис. Чрез разделянето на злонамерения софтуер на различни етапи, участниците в заплахата правят анализирането му по-трудно, особено ако C2 сървърът излезе офлайн.
Повреденият PDF файл е последната част от заразата с RustBucket
Въпреки това, дори на този етап, RustBucket няма да активира нито една от своите злонамерени възможности. За да активирате успешно истинската му функционалност на нарушеното macOS устройство, трябва да се отвори конкретен PDF файл. Този повреден PDF файл е маскиран като документ от девет страници, който претендира да съдържа информация за фирми за рисков капитал, които искат да инвестират в технически стартиращи фирми.
В действителност отварянето на файла ще завърши веригата за заразяване на RustBucket, като задейства изпълнението на 11,2 MB троянски кон, който също е подписан с ad-hoc подпис и е написан на Rust. Троянската заплаха може да изпълнява различни натрапчиви функции, като например извършване на разузнаване на системата чрез събиране на основни системни данни и получаване на списък на текущите процеси. Заплахата също така изпраща данни на нападателите, ако работи във виртуална среда.
Киберпрестъпниците започват да се адаптират към екосистемата на macOS
Използването на злонамерен софтуер от кибернападатели подчертава нарастваща тенденция, при която операционната система macOS все повече се превръща в мишена за киберпрестъпления. Тази тенденция се дължи на факта, че киберпрестъпниците осъзнават, че трябва да актуализират своите инструменти и тактики, за да включат платформата на Apple. Това означава, че значителен брой потенциални жертви са изложени на риск да бъдат набелязани от нападатели, които са адаптирали своите стратегии, за да използват уязвимостите на macOS системите.
