Programari maliciós RustBucket
Els experts en ciberseguretat han identificat una nova forma de programari maliciós dissenyada específicament per dirigir-se als dispositius Apple amb macOS. Aquest programari amenaçador, conegut com RustBucket, està sent utilitzat per un grup d'amenaces persistents avançades (APT) anomenat BlueNoroff, que es creu que està estretament vinculat o possiblement fins i tot un subgrup del famós grup Lazarus .
En particular, BlueNoroff s'ha dirigit anteriorment a sistemes basats en Windows mitjançant programari maliciós que va poder eludir els protocols de seguretat Mark-of-the-Web. El programari maliciós de macOS recentment descobert es disfressa d'una aplicació legítima de visualització de PDF anomenada "Visor intern de PDF" que sembla funcionar com s'esperava. Tanmateix, en realitat, és una eina insidiosa que s'utilitza per obtenir accés no autoritzat a dades sensibles en sistemes compromesos. Els detalls sobre l'amenaça van ser publicats per Jamf, una empresa de gestió de dispositius mòbils.
Taula de continguts
El programari maliciós RustBucket macOS es lliura en diverses etapes
El programari maliciós RustBucket utilitza un enfocament en diverses etapes per infectar els dispositius Mac destinats. La primera etapa és una aplicació sense signar anomenada "Internal PDF Viewer", que, un cop s'executa, descarrega la segona etapa del programari maliciós des d'un servidor d'ordres i control (C2).
La segona etapa del programari maliciós porta el mateix nom: "Visor de PDF intern", però aquesta vegada es tracta d'una aplicació signada que està dissenyada per semblar un identificador de paquet d'Apple legítim (com.apple.pdfViewer) i té un ad-hoc. signatura. En dividir el programari maliciós en diferents etapes, els actors de l'amenaça fan que sigui més difícil d'analitzar, sobretot si el servidor C2 es desconnecta.
Un fitxer PDF danyat és l’última part de la infecció RustBucket
Tanmateix, fins i tot en aquesta etapa, RustBucket no activarà cap de les seves capacitats malicioses. Per activar amb èxit la seva veritable funcionalitat al dispositiu macOS violat, s'ha d'obrir un fitxer PDF específic. Aquest fitxer PDF corrupte es disfressa com un document de nou pàgines que pretén contenir informació sobre empreses de capital risc que busquen invertir en startups tècniques.
En realitat, l'obertura del fitxer completarà la cadena d'infecció de RustBucket activant l'execució d'un troià d'11,2 MB que també està signat amb una signatura ad-hoc i escrit en Rust. L'amenaça de Troia pot realitzar diverses funcions intrusives, com ara fer un reconeixement del sistema mitjançant la recollida de dades bàsiques del sistema i l'obtenció d'una llista dels processos que s'executen actualment. L'amenaça també envia dades als atacants si s'executa en un entorn virtual.
Els cibercriminals comencen a adaptar-se a l’ecosistema macOS
La utilització de programari maliciós per part d'atacants cibernètics posa de manifest una tendència creixent en la qual el sistema operatiu macOS s'està convertint cada cop més en un objectiu del cibercrim. Aquesta tendència ve impulsada pel fet que els ciberdelinqüents reconeixen que necessiten actualitzar les seves eines i tàctiques per incloure la plataforma Apple. Això significa que un nombre substancial de víctimes potencials corre el risc de ser atacats per atacants que han adaptat les seves estratègies per explotar les vulnerabilitats dels sistemes macOS.
