RustBucket Malware
Cybersikkerhedseksperter har identificeret en ny form for malware, der er specielt designet til at målrette mod Apple-enheder, der kører macOS. Denne truende software, kendt som RustBucket, bliver brugt af en avanceret persistent trussel (APT) gruppe kaldet BlueNoroff, som menes at være tæt knyttet til eller muligvis endda en undergruppe af den berygtede Lazarus -gruppe.
Navnlig har BlueNoroff tidligere målrettet Windows-baserede systemer ved hjælp af malware, der var i stand til at omgå Mark-of-the-Web-sikkerhedsprotokoller. Den nyligt opdagede macOS-malware er forklædt som en legitim PDF-fremviser-applikation kaldet 'Intern PDF Viewer', der ser ud til at fungere som forventet. Men i virkeligheden er det et snigende værktøj, der bruges til at få uautoriseret adgang til følsomme data på kompromitterede systemer. Oplysninger om truslen blev frigivet af Jamf, et selskab til administration af mobilenheder.
Indholdsfortegnelse
RustBucket macOS Malware leveres i flere faser
RustBucket malware bruger en flertrins tilgang til at inficere de målrettede Mac-enheder. Det første trin er en usigneret applikation kaldet 'Intern PDF Viewer', som ved udførelse downloader anden fase af malwaren fra en Command-and-Control-server (C2).
Den anden fase af malwaren bærer det samme navn - 'Intern PDF Viewer', men denne gang er det et signeret program, der er designet til at ligne en legitim Apple-bundle-id (com.apple.pdfViewer) og har en ad-hoc Underskrift. Ved at opdele malwaren i forskellige stadier gør trusselsaktørerne det sværere at analysere, især hvis C2-serveren går offline.
En beskadiget PDF-fil er det sidste stykke af RustBucket-infektionen
Men selv på dette stadium vil RustBucket ikke aktivere nogen af sine ondsindede funktioner. For at kunne aktivere dens sande funktionalitet på den brudte macOS-enhed, skal en specifik PDF-fil åbnes. Denne korrupte PDF-fil er forklædt som et ni-siders dokument, der foregiver at indeholde oplysninger om venturekapitalfirmaer, der søger at investere i tekniske startups.
I virkeligheden vil åbning af filen fuldende RustBucket-infektionskæden ved at udløse udførelsen af en 11,2 MB trojaner, der også er signeret med en ad-hoc-signatur og skrevet i Rust. Den trojanske trussel kan udføre forskellige påtrængende funktioner, såsom at udføre systemrekognoscering ved at indsamle grundlæggende systemdata og få en liste over de aktuelt kørende processer. Truslen sender også data til angriberne, hvis den kører i et virtuelt miljø.
Cyberkriminelle begynder at tilpasse sig macOS-økosystemet
Cyberangriberes brug af malware fremhæver en voksende tendens, hvor macOS-operativsystemet i stigende grad bliver et mål for cyberkriminalitet. Denne tendens er drevet af det faktum, at cyberkriminelle erkender, at de er nødt til at opdatere deres værktøjer og taktik for at inkludere Apple-platformen. Det betyder, at et betydeligt antal potentielle ofre risikerer at blive målrettet af angribere, der har tilpasset deres strategier for at udnytte sårbarhederne i macOS-systemer.
