Malware RustBucket
Odborníci na kybernetickou bezpečnost identifikovali novou formu malwaru, která je speciálně navržena tak, aby cílila na zařízení Apple se systémem macOS. Tento ohrožující software, známý jako RustBucket, využívá skupina pokročilých perzistentních hrozeb (APT) zvaná BlueNoroff, o které se předpokládá, že je úzce spojena s nechvalně známou skupinou Lazarus nebo je dokonce její podskupinou.
Je pozoruhodné, že BlueNoroff se již dříve zaměřoval na systémy založené na Windows pomocí malwaru, který byl schopen obejít bezpečnostní protokoly Mark-of-the-Web. Nově objevený malware macOS se maskuje jako legitimní aplikace pro prohlížení PDF s názvem „Interní prohlížeč PDF“, která vypadá, že funguje podle očekávání. Ve skutečnosti se však jedná o zákeřný nástroj sloužící k získání neoprávněného přístupu k citlivým datům na kompromitovaných systémech. Podrobnosti o hrozbě zveřejnila společnost Jamf, která se zabývá správou mobilních zařízení.
Obsah
Malware RustBucket macOS je dodáván v několika fázích
Malware RustBucket používá k infikování cílových zařízení Mac vícestupňový přístup. První fází je nepodepsaná aplikace s názvem „Interní prohlížeč PDF“, která po spuštění stáhne druhou fázi malwaru ze serveru Command-and-Control (C2).
Druhá fáze malwaru nese stejný název – „Interní prohlížeč PDF“, ale tentokrát se jedná o podepsanou aplikaci, která je navržena tak, aby vypadala jako legitimní identifikátor balíčku Apple (com.apple.pdfViewer) a má ad-hoc podpis. Rozdělením malwaru do různých fází činitelé hrozeb znesnadňují analýzu, zejména pokud je server C2 offline.
Poškozený soubor PDF je posledním kouskem infekce RustBucket
Ani v této fázi však RustBucket neaktivuje žádnou ze svých škodlivých schopností. Pro úspěšnou aktivaci jeho skutečné funkčnosti na narušeném zařízení macOS je nutné otevřít konkrétní soubor PDF. Tento poškozený soubor PDF je maskovaný jako devítistránkový dokument, který má obsahovat informace o firmách rizikového kapitálu, které chtějí investovat do technických startupů.
Ve skutečnosti otevření souboru dokončí infekční řetězec RustBucket spuštěním spuštění 11,2 MB trojského koně, který je také podepsán ad-hoc podpisem a napsán v Rustu. Trojská hrozba může provádět různé rušivé funkce, jako je provádění průzkumu systému sběrem základních systémových dat a získáním seznamu aktuálně běžících procesů. Hrozba také odesílá data útočníkům, pokud běží ve virtuálním prostředí.
Kyberzločinci se začínají přizpůsobovat ekosystému macOS
Využití malwaru kybernetickými útočníky zdůrazňuje rostoucí trend, kdy se operační systém macOS stále více stává cílem kybernetické kriminality. Tento trend je způsoben skutečností, že kyberzločinci si uvědomují, že potřebují aktualizovat své nástroje a taktiky, aby zahrnovaly platformu Apple. To znamená, že značnému počtu potenciálních obětí hrozí, že se na ně zaměří útočníci, kteří přizpůsobili své strategie tak, aby využili zranitelnosti systémů macOS.
