بدافزار RustBucket

کارشناسان امنیت سایبری شکل جدیدی از بدافزار را شناسایی کرده اند که به طور خاص برای هدف قرار دادن دستگاه های اپل با سیستم عامل macOS طراحی شده است. این نرم‌افزار تهدیدکننده، معروف به RustBucket، توسط یک گروه تهدید مداوم پیشرفته (APT) به نام BlueNoroff استفاده می‌شود که گمان می‌رود ارتباط نزدیکی با یا احتمالاً حتی زیر گروهی از گروه بدنام Lazarus دارد.

قابل توجه است، BlueNoroff قبلا سیستم های مبتنی بر ویندوز را با استفاده از بدافزارهایی که قادر به دور زدن پروتکل های امنیتی Mark-of-the-Web بودند، هدف قرار داده بود. بدافزار macOS تازه کشف شده به عنوان یک برنامه نمایشگر PDF قانونی به نام «Internal PDF Viewer» پنهان شده است که به نظر می رسد مطابق انتظار عمل می کند. با این حال، در واقعیت، این یک ابزار موذی است که برای دسترسی غیرمجاز به داده های حساس در سیستم های در معرض خطر استفاده می شود. جزئیات این تهدید توسط شرکت مدیریت دستگاه های تلفن همراه Jamf منتشر شد.

بدافزار RustBucket macOS در چند مرحله ارائه می شود

بدافزار RustBucket از یک رویکرد چند مرحله ای برای آلوده کردن دستگاه های Mac مورد نظر استفاده می کند. مرحله اول یک برنامه بدون امضا به نام "Internal PDF Viewer" است که پس از اجرا، مرحله دوم بدافزار را از یک سرور Command-and-Control (C2) دانلود می کند.

مرحله دوم بدافزار با همین نام - "Internal PDF Viewer" است، اما این بار، یک برنامه امضا شده است که به گونه ای طراحی شده است که شبیه یک شناسه قانونی باندل اپل (com.apple.pdfViewer) باشد و دارای یک ad-hoc باشد. امضا با تقسیم بدافزار به مراحل مختلف، عوامل تهدید تجزیه و تحلیل را دشوارتر می کنند، به خصوص اگر سرور C2 آفلاین شود.

یک فایل PDF خراب آخرین قطعه از عفونت RustBucket است

با این حال، حتی در این مرحله، RustBucket هیچ یک از قابلیت های مخرب خود را فعال نخواهد کرد. برای فعال کردن موفقیت آمیز عملکرد واقعی آن در دستگاه macOS نقض شده، یک فایل PDF خاص باید باز شود. این فایل پی‌دی‌اف خراب به‌عنوان یک سند نه صفحه‌ای پنهان شده است که ظاهراً حاوی اطلاعاتی درباره شرکت‌های سرمایه‌گذاری خطرپذیر است که به دنبال سرمایه‌گذاری در استارت‌آپ‌های فنی هستند.

در واقع، باز کردن فایل، زنجیره عفونت RustBucket را با اجرای یک تروجان 11.2 مگابایتی که با امضای ad-hoc نیز امضا شده و به زبان Rust نوشته شده است، تکمیل می‌کند. تهدید تروجان می تواند عملکردهای نفوذی مختلفی را انجام دهد، مانند انجام شناسایی سیستم با جمع آوری داده های اولیه سیستم و به دست آوردن لیستی از فرآیندهای در حال اجرا. این تهدید همچنین در صورتی که در یک محیط مجازی اجرا شود، داده ها را برای مهاجمان ارسال می کند.

مجرمان سایبری شروع به انطباق با اکوسیستم macOS کرده اند

استفاده از بدافزار توسط مهاجمان سایبری روند رو به رشدی را نشان می دهد که در آن سیستم عامل macOS به طور فزاینده ای به هدفی برای جرایم سایبری تبدیل می شود. این روند به دلیل این واقعیت است که مجرمان سایبری متوجه شده اند که باید ابزارها و تاکتیک های خود را برای گنجاندن پلت فرم اپل به روز کنند. این بدان معناست که تعداد قابل توجهی از قربانیان احتمالی در معرض خطر هدف قرار گرفتن توسط مهاجمانی هستند که استراتژی‌های خود را برای سوء استفاده از آسیب‌پذیری‌های سیستم‌های macOS تطبیق داده‌اند.