Porta sul retro RustDoor

Una backdoor macOS recentemente scoperta, codificata in Rust, è stata collegata ai noti gruppi di ransomware Black Basta e Alphv/BlackCat. Denominato RustDoor, il malware finge che Visual Studio supporti sia le architetture Intel che Arm e circola da novembre 2023, riuscendo a eludere il rilevamento per diversi mesi.

I ricercatori hanno identificato varie versioni di RustDoor, tutte condividono la stessa funzionalità backdoor con piccole differenze. Tutte queste varianti supportano una serie di comandi per la raccolta e l'esfiltrazione di file, nonché per la raccolta di informazioni sul dispositivo infetto. I dati raccolti vengono quindi trasmessi a un server di comando e controllo (C&C), dove viene generato un ID vittima e utilizzato nelle comunicazioni successive.

La backdoor RustDoor ha evoluto le sue capacità non sicure

La versione iniziale della RustDoor Backdoor, rilevata nel novembre 2023, sembra aver funzionato come versione di prova. Mancava un meccanismo di persistenza completo e presentava un file plist "di prova".

La seconda variante, che si ritiene sia emersa un mese dopo, aveva file più grandi e includeva una sofisticata configurazione JSON e uno script Apple progettato per estrarre documenti specifici dalle cartelle Documenti e Desktop e dalle note dell'utente.

Dopo essersi insediato sui sistemi compromessi, il malware copia i documenti e i dati presi di mira in una cartella nascosta, li comprime in un archivio ZIP e quindi li trasmette al server Command-and-Control (C&C). Alcune configurazioni specificano le istruzioni per la raccolta dei dati, come la dimensione massima e il numero di file, elenchi di estensioni e directory mirate o directory da escludere. I ricercatori hanno anche scoperto che il file di configurazione di RustDoor consente la rappresentazione di diverse applicazioni, con opzioni per personalizzare una finestra di dialogo con password di amministratore falsificata.

La configurazione JSON fa riferimento a quattro meccanismi di persistenza, utilizzando cronjobs, LaunchAgents (con conseguente esecuzione all'accesso), modificando un file per garantire l'esecuzione all'apertura di una nuova sessione ZSH e aggiungendo il binario al dock.

È stata scoperta una terza variante backdoor e sembra essere quella originale. Manca la complessità, lo script Apple e la configurazione incorporata presenti in altre varianti di RustDoor.

Il malware utilizza tre server C&C precedentemente collegati alle campagne Black Basta e Alphv/BlackCat Ransomware. BlackCat, il primo ransomware per la crittografia dei file nel linguaggio di programmazione Rust, è emerso nel 2021 ed è stato smantellato nel dicembre 2023.

Gli attacchi malware backdoor possono avere gravi ripercussioni per le vittime

La presenza di malware backdoor sui dispositivi degli utenti pone pericoli significativi e vari, poiché garantisce l'accesso non autorizzato ad attori malintenzionati. Ecco alcuni potenziali pericoli associati all'infezione dei dispositivi degli utenti da malware backdoor:

• Accesso e controllo non autorizzati : le backdoor forniscono un punto di ingresso segreto per gli aggressori, consentendo loro di ottenere un accesso non autorizzato al dispositivo infetto. Una volta all'interno, possono assumere il controllo di varie funzioni, manipolare file ed eseguire comandi all'insaputa o al consenso dell'utente.
• Furto ed esfiltrazione di dati : le backdoor spesso consentono il furto e l'esfiltrazione di dati sensibili archiviati sul dispositivo compromesso. Gli aggressori possono accedere a informazioni personali, dati finanziari, credenziali di accesso e altri dati riservati, portando a potenziali furti di identità, perdite finanziarie o violazioni della privacy.
• Spionaggio e sorveglianza : il malware backdoor è comunemente associato ad attività di spionaggio. Gli aggressori possono utilizzare la backdoor per spiare gli utenti, monitorare le loro attività, acquisire screenshot, registrare sequenze di tasti e persino accedere a webcam o microfoni, compromettendo la privacy degli utenti.
• Distribuzione di ransomware : le backdoor vengono talvolta utilizzate come gateway per la distribuzione di ransomware. Una volta che gli aggressori ottengono l'accesso tramite una backdoor, possono crittografare i file dell'utente e richiedere un riscatto per il loro rilascio, causando notevoli interruzioni e perdite finanziarie.
• Manipolazione e interruzione del sistema : le backdoor possono consentire agli aggressori di manipolare le impostazioni del sistema, interrompere le normali operazioni o persino disattivare le misure di sicurezza. Ciò può portare a instabilità e arresti anomali del sistema e rendere difficile per gli utenti utilizzare i propri dispositivi in modo efficace.
• Propagazione e diffusione nella rete : alcune backdoor hanno capacità di auto-replicazione, che consentono loro di diffondersi attraverso le reti e infettare altri dispositivi. Ciò può comportare la compromissione di intere reti, colpendo più utenti e organizzazioni.
• Sicurezza di rete compromessa : le backdoor possono essere utilizzate per aggirare le misure di sicurezza della rete, rendendo più semplice per gli aggressori infiltrarsi in reti organizzative più ampie. Ciò può portare a ulteriori violazioni della sicurezza e compromettere l’integrità delle informazioni sensibili aziendali o governative.

Per mitigare questi rischi, è fondamentale che gli utenti utilizzino solide misure di sicurezza informatica, inclusi aggiornamenti software regolari, l’uso di programmi antivirus affidabili e la pratica di comportamenti online sicuri per evitare di cadere vittime di attacchi malware backdoor. Inoltre, le organizzazioni dovrebbero implementare solidi protocolli di sicurezza di rete per rilevare e gestire tempestivamente potenziali minacce.