Zlonamjerni softver RustBucket
Stručnjaci za kibernetičku sigurnost identificirali su novi oblik zlonamjernog softvera koji je posebno dizajniran za ciljanje Appleovih uređaja s macOS-om. Ovaj prijeteći softver, poznat kao RustBucket, koristi napredna trajna prijetnja (APT) grupa pod nazivom BlueNoroff, za koju se vjeruje da je usko povezana ili možda čak i podskupina ozloglašene grupe Lazarus .
Naime, BlueNoroff je prethodno ciljao sustave temeljene na Windowsima koristeći zlonamjerni softver koji je mogao zaobići sigurnosne protokole Mark-of-the-Web. Novootkriveni zlonamjerni softver za macOS prerušen je u legitimnu aplikaciju za preglednik PDF-a pod nazivom 'Interni preglednik PDF-a' za koju se čini da funkcionira prema očekivanjima. Međutim, u stvarnosti, to je podmukli alat koji se koristi za dobivanje neovlaštenog pristupa osjetljivim podacima na ugroženim sustavima. Detalje o prijetnji objavio je Jamf, tvrtka za upravljanje mobilnim uređajima.
Sadržaj
RustBucket macOS zlonamjerni softver isporučuje se u više faza
Zlonamjerni softver RustBucket koristi višefazni pristup za zarazu ciljanih Mac uređaja. Prva faza je nepotpisana aplikacija pod nazivom 'Interni preglednik PDF-a', koja, nakon izvršenja, preuzima drugu fazu zlonamjernog softvera s Command-and-Control (C2) poslužitelja.
Druga faza zlonamjernog softvera nosi isto ime - 'Interni preglednik PDF-a', ali ovaj put je to potpisana aplikacija koja je dizajnirana da izgleda kao legitimni identifikator paketa Apple (com.apple.pdfViewer) i ima ad-hoc potpis. Dijeljenjem zlonamjernog softvera u različite faze, akteri prijetnje otežavaju analizu, osobito ako C2 poslužitelj ne radi na mreži.
Oštećena PDF datoteka posljednji je dio zaraze RustBucket
Međutim, čak ni u ovoj fazi, RustBucket neće aktivirati nijednu od svojih zlonamjernih mogućnosti. Kako bi se uspješno aktivirala njegova prava funkcionalnost na probijenom macOS uređaju, mora se otvoriti određena PDF datoteka. Ova oštećena PDF datoteka prerušena je u dokument od devet stranica koji navodno sadrži informacije o tvrtkama rizičnog kapitala koje žele ulagati u tehničke startupove.
U stvarnosti će otvaranje datoteke dovršiti lanac infekcije RustBucket pokretanjem pokretanja trojanca od 11,2 MB koji je također potpisan ad-hoc potpisom i napisan u Rustu. Trojanska prijetnja može obavljati razne intruzivne funkcije, kao što je izviđanje sustava prikupljanjem osnovnih podataka o sustavu i dobivanjem popisa trenutno pokrenutih procesa. Prijetnja također šalje podatke napadačima ako se izvodi u virtualnom okruženju.
Cyberkriminalci se počinju prilagođavati macOS ekosustavu
Korištenje zlonamjernog softvera od strane cyber napadača naglašava rastući trend u kojem operativni sustav macOS sve više postaje meta cyber kriminala. Ovaj trend je potaknut činjenicom da kibernetički kriminalci shvaćaju da moraju ažurirati svoje alate i taktike kako bi uključili Appleovu platformu. To znači da je znatan broj potencijalnih žrtava u opasnosti da se nađu na meti napadača koji su prilagodili svoje strategije za iskorištavanje ranjivosti macOS sustava.
