RustBucket Malware
Eksperter på nettsikkerhet har identifisert en ny form for skadelig programvare som er spesielt utviklet for å målrette mot Apple-enheter som kjører macOS. Denne truende programvaren, kjent som RustBucket, blir brukt av en avansert persistent trussel (APT) gruppe kalt BlueNoroff, som antas å være nært knyttet til eller muligens til og med en undergruppe av den beryktede Lazarus -gruppen.
Spesielt har BlueNoroff tidligere målrettet Windows-baserte systemer ved å bruke skadelig programvare som var i stand til å omgå Mark-of-the-Web sikkerhetsprotokoller. Den nylig oppdagede macOS-malwaren er forkledd som en legitim PDF-visningsprogram kalt "Intern PDF Viewer" som ser ut til å fungere som forventet. Men i virkeligheten er det et lumsk verktøy som brukes til å få uautorisert tilgang til sensitive data på kompromitterte systemer. Detaljer om trusselen ble utgitt av Jamf, et selskap for administrasjon av mobilenheter.
Innholdsfortegnelse
RustBucket macOS Malware leveres i flere stadier
RustBucket malware bruker en flertrinns tilnærming for å infisere de målrettede Mac-enhetene. Det første trinnet er en usignert applikasjon kalt 'Internal PDF Viewer', som ved kjøring laster ned den andre fasen av skadelig programvare fra en Command-and-Control-server (C2).
Den andre fasen av skadelig programvare har samme navn - 'Intern PDF Viewer', men denne gangen er det et signert program som er designet for å se ut som en legitim Apple-pakkeidentifikator (com.apple.pdfViewer) og har en ad-hoc signatur. Ved å dele skadevare i ulike stadier, gjør trusselaktørene det vanskeligere å analysere, spesielt hvis C2-serveren går offline.
En ødelagt PDF-fil er den siste delen av RustBucket-infeksjonen
Selv på dette stadiet vil imidlertid ikke RustBucket aktivere noen av sine skadelige funksjoner. For å kunne aktivere dens sanne funksjonalitet på den ødelagte macOS-enheten, må en spesifikk PDF-fil åpnes. Denne ødelagte PDF-filen er forkledd som et ni-siders dokument som hevder å inneholde informasjon om venturekapitalfirmaer som ønsker å investere i tekniske oppstarter.
I virkeligheten vil åpning av filen fullføre RustBucket-infeksjonskjeden ved å utløse kjøringen av en 11,2 MB trojaner som også er signert med en ad-hoc-signatur og skrevet i Rust. Den trojanske trusselen kan utføre forskjellige påtrengende funksjoner, for eksempel å utføre systemrekognosering ved å samle grunnleggende systemdata og få en liste over prosessene som kjører for øyeblikket. Trusselen sender også data til angriperne hvis den kjører i et virtuelt miljø.
Cyberkriminelle begynner å tilpasse seg macOS-økosystemet
Bruken av skadelig programvare av nettangripere fremhever en økende trend der macOS-operativsystemet i økende grad blir et mål for nettkriminalitet. Denne trenden er drevet av det faktum at nettkriminelle erkjenner at de må oppdatere verktøyene og taktikkene sine for å inkludere Apple-plattformen. Dette betyr at et betydelig antall potensielle ofre står i fare for å bli målrettet av angripere som har tilpasset sine strategier for å utnytte sårbarhetene til macOS-systemer.
