RustBucket-malware
Cyberbeveiligingsexperts hebben een nieuwe vorm van malware geïdentificeerd die specifiek is ontworpen om zich te richten op Apple-apparaten met macOS. Deze bedreigende software, bekend als RustBucket, wordt gebruikt door een Advanced Persistent Threat (APT)-groep genaamd BlueNoroff, waarvan wordt aangenomen dat deze nauw verbonden is met of mogelijk zelfs een subgroep is van de beruchte Lazarus- groep.
Met name BlueNoroff heeft zich eerder gericht op Windows-gebaseerde systemen met behulp van malware die Mark-of-the-Web-beveiligingsprotocollen kon omzeilen. De nieuw ontdekte macOS-malware is vermomd als een legitieme pdf-viewertoepassing genaamd 'Internal PDF Viewer' die lijkt te werken zoals verwacht. In werkelijkheid is het echter een verraderlijke tool die wordt gebruikt om ongeoorloofde toegang te krijgen tot gevoelige gegevens op gecompromitteerde systemen. Details over de dreiging zijn vrijgegeven door Jamf, een beheerbedrijf voor mobiele apparaten.
Inhoudsopgave
De RustBucket macOS-malware wordt in meerdere fasen geleverd
De RustBucket-malware gebruikt een aanpak in meerdere fasen om de beoogde Mac-apparaten te infecteren. De eerste fase is een niet-ondertekende toepassing genaamd 'Internal PDF Viewer', die na uitvoering de tweede fase van de malware downloadt van een Command-and-Control (C2)-server.
De tweede fase van de malware heeft dezelfde naam - 'Internal PDF Viewer', maar deze keer is het een ondertekende applicatie die is ontworpen om eruit te zien als een legitieme Apple-bundel-ID (com.apple.pdfViewer) en heeft een ad-hoc handtekening. Door de malware in verschillende stadia te verdelen, maken de bedreigingsactoren het moeilijker om te analyseren, vooral als de C2-server offline gaat.
Een beschadigd PDF-bestand is het laatste stukje van de RustBucket-infectie
Maar zelfs in dit stadium zal RustBucket geen van zijn kwaadaardige mogelijkheden activeren. Om de ware functionaliteit op het geschonden macOS-apparaat met succes te activeren, moet een specifiek PDF-bestand worden geopend. Dit corrupte pdf-bestand is vermomd als een document van negen pagina's dat beweert informatie te bevatten over durfkapitaalbedrijven die willen investeren in technische startups.
In werkelijkheid zal het openen van het bestand de RustBucket-infectieketen voltooien door de uitvoering van een Trojaans paard van 11,2 MB te activeren dat ook is ondertekend met een ad-hochandtekening en is geschreven in Rust. De Trojaanse dreiging kan verschillende opdringerige functies uitvoeren, zoals het uitvoeren van systeemverkenningen door het verzamelen van basissysteemgegevens en het verkrijgen van een lijst van de lopende processen. De dreiging stuurt ook gegevens naar de aanvallers als deze in een virtuele omgeving wordt uitgevoerd.
De cybercriminelen beginnen zich aan te passen aan het macOS-ecosysteem
Het gebruik van malware door cyberaanvallers wijst op een groeiende trend waarbij het macOS-besturingssysteem steeds meer een doelwit wordt voor cybercriminaliteit. Deze trend wordt gedreven door het feit dat cybercriminelen erkennen dat ze hun tools en tactieken moeten updaten om het Apple-platform op te nemen. Dit betekent dat een aanzienlijk aantal potentiële slachtoffers het risico loopt het doelwit te worden van aanvallers die hun strategieën hebben aangepast om misbruik te maken van de kwetsbaarheden van macOS-systemen.
