RustBucket Malware
מומחי אבטחת סייבר זיהו צורה חדשה של תוכנה זדונית שנועדה במיוחד לכוון למכשירי אפל המריצים macOS. התוכנה המאיימת הזו, הידועה בשם RustBucket, נמצאת בשימוש על ידי קבוצת איום מתמשך (APT) מתקדמת בשם BlueNoroff, אשר מאמינים שהיא קשורה קשר הדוק או אולי אפילו תת-קבוצה של קבוצת לזרוס הידועה לשמצה.
יש לציין כי BlueNoroff כיוון בעבר למערכות מבוססות Windows באמצעות תוכנות זדוניות שהצליחו לעקוף את פרוטוקולי האבטחה Mark-of-the-Web. התוכנה הזדונית של macOS שהתגלתה לאחרונה מוסווה כיישום לגיטימי לצפייה ב-PDF בשם 'מציג PDF פנימי', שנראה כי מתפקד כמצופה. עם זאת, במציאות, זהו כלי ערמומי המשמש להשגת גישה לא מורשית לנתונים רגישים במערכות שנפגעו. פרטים על האיום פורסמו על ידי Jamf, חברת ניהול מכשירים ניידים.
תוכן העניינים
תוכנת RustBucket macOS זדונית מסופקת במספר שלבים
RustBucket תוכנה זדונית משתמשת בגישה רב-שלבית כדי להדביק את מכשירי ה-Mac הממוקדים. השלב הראשון הוא יישום לא חתום בשם 'מציג PDF פנימי', אשר, לאחר ביצוע, מוריד את השלב השני של התוכנה הזדונית משרת Command-and-Control (C2).
השלב השני של התוכנה הזדונית נושא את אותו שם - 'מציג PDF פנימי', אבל הפעם מדובר באפליקציה חתומה שנועדה להיראות כמו מזהה חבילה לגיטימי של אפל (com.apple.pdfViewer) ויש לו אד-הוק חֲתִימָה. על ידי חלוקת התוכנה הזדונית לשלבים שונים, גורמי האיום מקשים על הניתוח, במיוחד אם שרת C2 לא מקוון.
קובץ PDF פגום הוא החלק האחרון של זיהום RustBucket
עם זאת, גם בשלב זה, RustBucket לא תפעיל אף אחת מהיכולות הזדוניות שלה. על מנת להפעיל בהצלחה את הפונקציונליות האמיתית שלו במכשיר ה-macOS הפרוץ, יש לפתוח קובץ PDF ספציפי. קובץ PDF פגום זה מוסווה כמסמך בן תשעה עמודים שמתיימר להכיל מידע על חברות הון סיכון המבקשות להשקיע בסטארט-אפים טכניים.
במציאות, פתיחת הקובץ תשלים את שרשרת ההדבקה של RustBucket על ידי הפעלת הפעלה של טרויאני בנפח 11.2 מגה-בייט שגם הוא חתום בחתימה אד-הוק וכתוב ב-Rust. האיום הטרויאני יכול לבצע פונקציות פולשניות שונות, כגון ביצוע סיור מערכת על ידי איסוף נתוני מערכת בסיסיים וקבלת רשימה של התהליכים הפועלים כעת. האיום גם שולח נתונים לתוקפים אם הוא פועל בסביבה וירטואלית.
פושעי הסייבר מתחילים להסתגל למערכת האקולוגית של macOS
השימוש בתוכנות זדוניות על ידי תוקפי סייבר מדגיש מגמה גוברת שבה מערכת ההפעלה macOS הופכת יותר ויותר יעד לפשעי סייבר. מגמה זו מונעת מהעובדה שפושעי סייבר מכירים בכך שהם צריכים לעדכן את הכלים והטקטיקות שלהם כדי לכלול את פלטפורמת אפל. המשמעות היא שמספר ניכר של קורבנות פוטנציאליים נמצאים בסיכון להיות מטרה על ידי תוקפים שהתאימו את האסטרטגיות שלהם כדי לנצל את הפגיעויות של מערכות macOS.
