Porta del darrere RustDoor

Una porta posterior de macOS recentment descoberta, codificada a Rust, s'ha relacionat amb els coneguts grups de ransomware Black Basta i Alphv/BlackCat. Anomenat RustDoor, el programari maliciós suposa que Visual Studio admet arquitectures Intel i Arm i ha estat circulant des del novembre de 2023, aconseguint evadir la detecció durant diversos mesos.

Els investigadors han identificat diverses versions de RustDoor, totes compartint la mateixa funcionalitat de la porta posterior amb diferències menors. Totes aquestes variants admeten una sèrie d'ordres per a la recollida i l'exfiltració de fitxers, així com per recopilar informació sobre el dispositiu infectat. Les dades recopilades es transmeten a un servidor de comandament i control (C&C), on es genera un identificador de víctima i s'utilitza en comunicacions posteriors.

La porta posterior RustDoor ha anat evolucionant les seves capacitats insegures

La versió inicial de RustDoor Backdoor, detectada el novembre de 2023, sembla haver funcionat com una versió de prova. No tenia un mecanisme de persistència complet i presentava un fitxer plist de "prova".

La segona variant, que es creu que va aparèixer un mes després, tenia fitxers més grans i incloïa una configuració JSON sofisticada i un script d'Apple dissenyat per extreure documents específics de les carpetes Documents i Desktop i les notes de l'usuari.

En establir-se en sistemes compromesos, el programari maliciós copia els documents i les dades dirigits a una carpeta oculta, els comprimeix en un arxiu ZIP i els transmet al servidor de comandament i control (C&C). Algunes configuracions especifiquen instruccions de recollida de dades, com ara la mida i el nombre màxims de fitxers, llistes d'extensions i directoris orientats o directoris per excloure. Els investigadors també van trobar que el fitxer de configuració de RustDoor permet la suplantació de diferents aplicacions, amb opcions per personalitzar un diàleg de contrasenya d'administrador falsificat.

La configuració JSON fa referència a quatre mecanismes de persistència, utilitzant cronjobs, LaunchAgents (que resulta en l'execució a l'inici de sessió), modificant un fitxer per garantir l'execució en obrir una nova sessió ZSH i afegir el binari al moll.

S'ha descobert una tercera variant de la porta del darrere i sembla que és l'original. No té la complexitat, l'script d'Apple i la configuració incrustada presents en altres variants de RustDoor.

El programari maliciós utilitza tres servidors C&C vinculats anteriorment a les campanyes de Black Basta i Alphv/BlackCat Ransomware. BlackCat, el primer ransomware per xifrar fitxers en el llenguatge de programació Rust, va sorgir el 2021 i es va desmantellar el desembre de 2023.

Els atacs de programari maliciós de la porta posterior poden tenir greus repercussions per a les víctimes

La presència de programari maliciós de porta posterior als dispositius dels usuaris suposa perills importants i variats, ja que permet l'accés no autoritzat a actors maliciosos. Aquests són alguns dels perills potencials associats a tenir els dispositius dels usuaris infectats amb programari maliciós de porta posterior:

• Accés i control no autoritzats : les portes del darrere proporcionen un punt d'entrada secret als atacants, cosa que els permet obtenir accés no autoritzat al dispositiu infectat. Un cop dins, poden prendre el control de diverses funcions, manipular fitxers i executar ordres sense el coneixement ni el consentiment de l'usuari.
• Robatori i exfiltració de dades : les portes posteriors sovint permeten el robatori i l'exfiltració de dades sensibles emmagatzemades al dispositiu compromès. Els atacants poden accedir a informació personal, dades financeres, credencials d'inici de sessió i altres dades confidencials, cosa que pot provocar un possible robatori d'identitat, pèrdues financeres o violacions de la privadesa.
• Espionatge i vigilància : el programari maliciós de porta posterior s'associa habitualment amb activitats d'espionatge. Els atacants poden utilitzar la porta del darrere per espiar els usuaris, controlar les seves activitats, capturar captures de pantalla, gravar les pulsacions de tecla i fins i tot accedir a càmeres web o micròfons, comprometent la privadesa dels usuaris.
• Desplegament de ransomware : de vegades s'utilitzen backdoors com a porta d'entrada per desplegar ransomware. Una vegada que els atacants accedeixen a través d'una porta posterior, poden xifrar els fitxers de l'usuari i exigir un rescat pel seu alliberament, causant interrupcions importants i pèrdues financeres.
• Manipulació i interrupció del sistema : les portes posteriors poden permetre als atacants manipular la configuració del sistema, interrompre les operacions normals o fins i tot desactivar les mesures de seguretat. Això pot acabar provocant inestabilitat i bloquejos del sistema i dificultar que els usuaris facin servir els seus dispositius de manera eficaç.
• Propagació i propagació de la xarxa : algunes portes del darrere tenen capacitats d'autoreplicació, cosa que els permet estendre's per xarxes i infectar altres dispositius. Això pot provocar el compromís de xarxes senceres, afectant diversos usuaris i organitzacions.
• Seguretat de xarxa compromesa : les portes posteriors es poden utilitzar per evitar les mesures de seguretat de la xarxa, facilitant la infiltració dels atacants en xarxes organitzatives més àmplies. Això pot provocar incompliments de seguretat addicionals i comprometre la integritat de la informació empresarial o governamental sensible.

Per mitigar aquests riscos, és crucial que els usuaris utilitzin mesures de ciberseguretat sòlides, com ara actualitzacions periòdiques de programari, l'ús de programes antivirus de bona reputació i practicar comportaments en línia segurs per evitar ser víctimes d'atacs de programari maliciós de porta posterior. A més, les organitzacions haurien d'implementar protocols de seguretat de xarxa forts per detectar i gestionar les amenaces potencials ràpidament.