Malware RustBucket
Gli esperti di sicurezza informatica hanno identificato una nuova forma di malware specificamente progettata per prendere di mira i dispositivi Apple con macOS. Questo software minaccioso, noto come RustBucket, viene utilizzato da un gruppo APT (Advanced Persistent Threat) chiamato BlueNoroff, che si ritiene sia strettamente collegato o forse anche un sottogruppo del famigerato gruppo Lazarus .
In particolare, BlueNoroff ha precedentemente preso di mira i sistemi basati su Windows utilizzando malware in grado di aggirare i protocolli di sicurezza Mark-of-the-Web. Il malware macOS appena scoperto è mascherato da un'applicazione di visualizzazione PDF legittima chiamata "Visualizzatore PDF interno" che sembra funzionare come previsto. Tuttavia, in realtà, è uno strumento insidioso utilizzato per ottenere l'accesso non autorizzato a dati sensibili su sistemi compromessi. I dettagli sulla minaccia sono stati rilasciati da Jamf, una società di gestione di dispositivi mobili.
Sommario
Il malware macOS RustBucket viene distribuito in più fasi
Il malware RustBucket utilizza un approccio in più fasi per infettare i dispositivi Mac presi di mira. La prima fase è un'applicazione non firmata chiamata "Visualizzatore PDF interno" che, dopo l'esecuzione, scarica la seconda fase del malware da un server Command-and-Control (C2).
La seconda fase del malware porta lo stesso nome: "Visualizzatore PDF interno", ma questa volta si tratta di un'applicazione firmata progettata per assomigliare a un identificatore di bundle Apple legittimo (com.apple.pdfViewer) e ha un'applicazione ad hoc firma. Dividendo il malware in diverse fasi, gli autori delle minacce ne rendono più difficile l'analisi, in particolare se il server C2 va offline.
Un file PDF danneggiato è l’ultimo pezzo dell’infezione RustBucket
Tuttavia, anche in questa fase, RustBucket non attiverà nessuna delle sue funzionalità dannose. Per attivare correttamente la sua vera funzionalità sul dispositivo macOS violato, è necessario aprire un file PDF specifico. Questo file PDF corrotto è mascherato da un documento di nove pagine che pretende di contenere informazioni sulle società di capitale di rischio che cercano di investire in startup tecniche.
In realtà, l'apertura del file completerà la catena di infezione di RustBucket innescando l'esecuzione di un trojan da 11,2 MB anch'esso firmato con una firma ad-hoc e scritto in Rust. La minaccia Trojan può svolgere varie funzioni intrusive, come eseguire la ricognizione del sistema raccogliendo dati di sistema di base e ottenendo un elenco dei processi attualmente in esecuzione. La minaccia invia anche dati agli aggressori se è in esecuzione in un ambiente virtuale.
I criminali informatici stanno iniziando ad adattarsi all’ecosistema macOS
L'utilizzo di malware da parte di aggressori informatici evidenzia una tendenza in crescita in cui il sistema operativo macOS sta diventando sempre più un bersaglio per il crimine informatico. Questa tendenza è guidata dal fatto che i criminali informatici stanno riconoscendo la necessità di aggiornare i loro strumenti e le loro tattiche per includere la piattaforma Apple. Ciò significa che un numero considerevole di potenziali vittime rischia di essere preso di mira da aggressori che hanno adattato le proprie strategie per sfruttare le vulnerabilità dei sistemi macOS.
