RustBucket Malware

RustBucket सुरक्षा विशेषज्ञों ने मैलवेयर के एक नए रूप की पहचान की है जिसे विशेष रूप से macOS चलाने वाले Apple उपकरणों को लक्षित करने के लिए डिज़ाइन किया गया है। रस्टबकेट के नाम से जाना जाने वाला यह धमकी देने वाला सॉफ्टवेयर, BlueNoroff नामक एक उन्नत लगातार खतरे (APT) समूह द्वारा उपयोग किया जा रहा है, जिसे माना जाता है कि यह कुख्यात Lazarus समूह के एक उप-समूह से निकटता से जुड़ा हुआ है।

विशेष रूप से, BlueNoroff ने पहले विंडोज-आधारित सिस्टम को मैलवेयर का उपयोग करके लक्षित किया था जो मार्क-ऑफ-द-वेब सुरक्षा प्रोटोकॉल को दरकिनार करने में सक्षम था। नए खोजे गए macOS मालवेयर को 'आंतरिक पीडीएफ व्यूअर' नामक एक वैध पीडीएफ व्यूअर एप्लिकेशन के रूप में प्रच्छन्न किया गया है जो अपेक्षित रूप से कार्य करता प्रतीत होता है। हालाँकि, वास्तव में, यह एक कपटी उपकरण है जिसका उपयोग समझौता किए गए सिस्टम पर संवेदनशील डेटा तक अनधिकृत पहुँच प्राप्त करने के लिए किया जाता है। मोबाइल डिवाइस प्रबंधन कंपनी जैम्फ द्वारा खतरे के बारे में विवरण जारी किया गया।

RustBucket मैकओएस मालवेयर कई चरणों में डिलीवर किया जाता है

RustBucket मैलवेयर लक्षित मैक उपकरणों को संक्रमित करने के लिए एक बहु-स्तरीय दृष्टिकोण का उपयोग करता है। पहला चरण एक अहस्ताक्षरित एप्लिकेशन है जिसे 'आंतरिक पीडीएफ व्यूअर' कहा जाता है, जो निष्पादन पर कमांड-एंड-कंट्रोल (C2) सर्वर से मैलवेयर के दूसरे चरण को डाउनलोड करता है।

मैलवेयर के दूसरे चरण में एक ही नाम है - 'आंतरिक पीडीएफ व्यूअर', लेकिन इस बार, यह एक हस्ताक्षरित एप्लिकेशन है जिसे एक वैध ऐप्पल बंडल आइडेंटिफ़ायर (com.apple.pdfViewer) की तरह दिखने के लिए डिज़ाइन किया गया है और इसमें एड-हॉक है हस्ताक्षर। मैलवेयर को अलग-अलग चरणों में विभाजित करके, खतरे वाले कारकों का विश्लेषण करना अधिक कठिन हो जाता है, खासकर यदि C2 सर्वर ऑफ़लाइन हो जाता है।

एक दूषित पीडीएफ फाइल RustBucket संक्रमण का आखिरी टुकड़ा है

हालाँकि, इस स्तर पर भी, RustBucket अपनी किसी भी दुर्भावनापूर्ण क्षमता को सक्रिय नहीं करेगा। भंग किए गए macOS डिवाइस पर अपनी वास्तविक कार्यक्षमता को सफलतापूर्वक सक्रिय करने के लिए, एक विशिष्ट PDF फ़ाइल खोली जानी चाहिए। यह दूषित पीडीएफ फाइल नौ पन्नों के दस्तावेज के रूप में प्रच्छन्न है जो तकनीकी स्टार्टअप में निवेश करने की इच्छुक उद्यम पूंजी फर्मों के बारे में जानकारी रखने का दावा करती है।

वास्तव में, फ़ाइल को खोलने से 11.2 एमबी ट्रोजन के निष्पादन को ट्रिगर करके RustBucket संक्रमण श्रृंखला को पूरा किया जाएगा, जिसे एड-हॉक हस्ताक्षर के साथ भी हस्ताक्षरित किया गया है और रस्ट में लिखा गया है। ट्रोजन खतरा विभिन्न दखल देने वाले कार्य कर सकता है, जैसे बुनियादी सिस्टम डेटा एकत्र करके और वर्तमान में चल रही प्रक्रियाओं की सूची प्राप्त करके सिस्टम टोही करना। यदि यह आभासी वातावरण में चल रहा है तो खतरा हमलावरों को डेटा भी भेजता है।

साइबर अपराधी macOS इकोसिस्टम के अनुकूल होना शुरू कर रहे हैं

साइबर हमलावरों द्वारा मैलवेयर का उपयोग एक बढ़ती हुई प्रवृत्ति को उजागर करता है जिसमें macOS ऑपरेटिंग सिस्टम तेजी से साइबर अपराध का लक्ष्य बनता जा रहा है। यह प्रवृत्ति इस तथ्य से प्रेरित है कि साइबर अपराधी यह पहचान रहे हैं कि उन्हें Apple प्लेटफॉर्म को शामिल करने के लिए अपने टूल और रणनीति को अपडेट करने की आवश्यकता है। इसका मतलब यह है कि बड़ी संख्या में संभावित पीड़ितों को हमलावरों द्वारा लक्षित किए जाने का खतरा है, जिन्होंने macOS सिस्टम की कमजोरियों का फायदा उठाने के लिए अपनी रणनीतियों को अनुकूलित किया है।