RustBucket ļaunprātīga programmatūra
Kiberdrošības eksperti ir identificējuši jaunu ļaunprātīgas programmatūras veidu, kas ir īpaši izstrādāts, lai mērķētu uz Apple ierīcēm, kurās darbojas MacOS. Šo draudīgo programmatūru, kas pazīstama kā RustBucket, izmanto progresīvu pastāvīgo draudu (APT) grupa BlueNoroff, kas, domājams, ir cieši saistīta ar bēdīgi slaveno Lazarus grupu vai, iespējams, pat ir tās apakšgrupa.
Jāatzīmē, ka BlueNoroff iepriekš ir mērķējis uz Windows balstītām sistēmām, izmantojot ļaunprātīgu programmatūru, kas varēja apiet Mark-of-the-Web drošības protokolus. Jaunatklātā MacOS ļaunprogrammatūra ir slēpta kā likumīga PDF skatītāja lietojumprogramma ar nosaukumu "Internal PDF Viewer", kas, šķiet, darbojas, kā paredzēts. Tomēr patiesībā tas ir mānīgs rīks, ko izmanto, lai iegūtu nesankcionētu piekļuvi sensitīviem datiem apdraudētās sistēmās. Sīkāku informāciju par draudiem izplatīja mobilo ierīču pārvaldības uzņēmums Jamf.
Satura rādītājs
RustBucket macOS ļaunprātīgā programmatūra tiek piegādāta vairākos posmos
RustBucket ļaunprogrammatūra izmanto daudzpakāpju pieeju, lai inficētu mērķa Mac ierīces. Pirmais posms ir neparakstīta lietojumprogramma ar nosaukumu "Iekšējais PDF skatītājs", kas pēc izpildes lejupielādē ļaunprātīgas programmatūras otro posmu no Command-and-Control (C2) servera.
Ļaunprātīgas programmatūras otrajam posmam ir tāds pats nosaukums - "Iekšējais PDF skatītājs", taču šoreiz tā ir parakstīta lietojumprogramma, kas ir izstrādāta tā, lai tā izskatītos kā likumīgs Apple komplekta identifikators (com.apple.pdfViewer), un tai ir ad hoc funkcija. parakstu. Sadalot ļaunprātīgu programmatūru dažādos posmos, apdraudējuma dalībnieki apgrūtina tās analīzi, īpaši, ja C2 serveris pāriet bezsaistē.
Bojāts PDF fails ir pēdējā RustBucket infekcijas daļa
Tomēr pat šajā posmā RustBucket neaktivizēs nevienu no savām ļaunprātīgajām iespējām. Lai veiksmīgi aktivizētu tā patieso funkcionalitāti bojātajā macOS ierīcē, ir jāatver konkrēts PDF fails. Šis bojātais PDF fails ir slēpts kā deviņu lappušu dokuments, kas it kā satur informāciju par riska kapitāla uzņēmumiem, kas vēlas ieguldīt tehniskos jaunizveidotajos uzņēmumos.
Faktiski faila atvēršana pabeigs RustBucket infekcijas ķēdi, aktivizējot 11,2 MB Trojas zirga izpildi, kas arī ir parakstīts ar ad-hoc parakstu un rakstīts Rust. Trojas draudi var veikt dažādas uzmācīgas funkcijas, piemēram, veikt sistēmas izlūkošanu, savācot sistēmas pamatdatus un iegūstot šobrīd darbojošos procesu sarakstu. Draudi arī nosūta datus uzbrucējiem, ja tie darbojas virtuālajā vidē.
Kibernoziedznieki sāk pielāgoties macOS ekosistēmai
Kiberuzbrucēju ļaunprātīgas programmatūras izmantošana liecina par pieaugošo tendenci, kurā MacOS operētājsistēma arvien biežāk kļūst par kibernoziegumu mērķi. Šo tendenci nosaka fakts, ka kibernoziedznieki apzinās, ka viņiem ir jāatjaunina savi rīki un taktika, lai iekļautu Apple platformu. Tas nozīmē, ka lielam skaitam potenciālo upuru draud uzbrucēji, kuri ir pielāgojuši savas stratēģijas, lai izmantotu macOS sistēmu ievainojamības.
