RustBucket Malware
A kiberbiztonsági szakértők a rosszindulatú programok egy új formáját azonosították, amelyet kifejezetten a macOS-t futtató Apple-eszközök megcélzására terveztek. Ezt a RustBucket néven ismert fenyegető szoftvert a BlueNoroff nevű fejlett persistent fenyegetés (APT) csoport használja, amelyről úgy tartják, hogy szorosan kapcsolódik a hírhedt Lazarus csoporthoz, vagy akár annak egy alcsoportja is.
Nevezetesen, a BlueNoroff korábban Windows-alapú rendszereket célzott meg olyan rosszindulatú programokkal, amelyek képesek voltak megkerülni a Mark-of-the-Web biztonsági protokollokat. Az újonnan felfedezett macOS kártevő a „Belső PDF Viewer” nevű legitim PDF-megtekintő alkalmazásnak van álcázva, amely úgy tűnik, a várakozásoknak megfelelően működik. A valóságban azonban ez egy alattomos eszköz, amellyel jogosulatlan hozzáférést lehet szerezni a feltört rendszereken lévő érzékeny adatokhoz. A fenyegetéssel kapcsolatos részleteket a Jamf, a mobileszköz-kezelő cég közölte.
Tartalomjegyzék
A RustBucket macOS rosszindulatú szoftvert több lépcsőben szállítják
A RustBucket kártevő többlépcsős megközelítést alkalmaz a megcélzott Mac-eszközök megfertőzésére. Az első szakasz egy aláírás nélküli alkalmazás, az úgynevezett "Belső PDF Viewer", amely végrehajtás után letölti a rosszindulatú program második szakaszát egy Command-and-Control (C2) szerverről.
A rosszindulatú program második szakasza ugyanazt a nevet viseli - "Belső PDF Viewer", de ezúttal egy aláírt alkalmazásról van szó, amelyet úgy terveztek, hogy úgy nézzen ki, mint egy legitim Apple csomagazonosító (com.apple.pdfViewer), és ad-hoc funkcióval rendelkezik. aláírás. Azáltal, hogy a kártevőt különböző szakaszokra osztják, a fenyegetés szereplői megnehezítik az elemzést, különösen, ha a C2 szerver offline állapotba kerül.
A sérült PDF-fájl a RustBucket fertőzés utolsó darabja
A RustBucket azonban még ebben a szakaszban sem aktiválja rosszindulatú képességeit. A valódi funkcionalitás sikeres aktiválásához a sérült macOS-eszközön meg kell nyitni egy adott PDF-fájlt. Ez a sérült PDF-fájl kilencoldalas dokumentumnak van álcázva, amely állítólag információkat tartalmaz azokról a kockázatitőke-cégekről, amelyek műszaki induló vállalkozásokba kívánnak befektetni.
A valóságban a fájl megnyitása befejezi a RustBucket fertőzési láncot egy 11,2 MB-os trójai program végrehajtásával, amely szintén ad-hoc aláírással van aláírva és Rust nyelven íródott. A trójai fenyegetés különféle behatoló funkciókat hajthat végre, például rendszerfelderítést végezhet az alapvető rendszeradatok összegyűjtésével és az éppen futó folyamatok listájának lekérésével. A fenyegetés adatokat is küld a támadóknak, ha virtuális környezetben fut.
A kiberbűnözők kezdenek alkalmazkodni a macOS ökoszisztémához
A rosszindulatú programok kibertámadók általi felhasználása rávilágít arra a növekvő tendenciára, amelyben a macOS operációs rendszer egyre inkább a kiberbűnözés célpontjává válik. Ezt a tendenciát az a tény vezérli, hogy a kiberbűnözők felismerik, hogy frissíteniük kell eszközeiket és taktikájukat, hogy belefoglalják az Apple platformot. Ez azt jelenti, hogy jelentős számú potenciális áldozatot fenyeget annak a veszélye, hogy olyan támadók célpontjai közé kerüljenek, akik stratégiájukat a macOS rendszerek sebezhetőségeinek kihasználására alakították át.
