Złośliwe oprogramowanie RustBucket
Eksperci ds. cyberbezpieczeństwa zidentyfikowali nową formę złośliwego oprogramowania, która jest specjalnie zaprojektowana do atakowania urządzeń Apple z systemem macOS. To groźne oprogramowanie, znane jako RustBucket, jest wykorzystywane przez zaawansowaną grupę uporczywych zagrożeń (APT) o nazwie BlueNoroff, która jest uważana za blisko powiązaną lub być może nawet podgrupę osławionej grupy Lazarus .
Warto zauważyć, że BlueNoroff wcześniej atakował systemy oparte na systemie Windows za pomocą złośliwego oprogramowania, które było w stanie ominąć protokoły bezpieczeństwa Mark-of-the-Web. Nowo wykryte złośliwe oprogramowanie dla systemu macOS jest zamaskowane jako legalna aplikacja do przeglądania plików PDF o nazwie „Internal PDF Viewer”, która wydaje się działać zgodnie z oczekiwaniami. Jednak w rzeczywistości jest to podstępne narzędzie wykorzystywane do uzyskiwania nieautoryzowanego dostępu do wrażliwych danych w zaatakowanych systemach. Szczegóły dotyczące zagrożenia zostały ujawnione przez Jamf, firmę zarządzającą urządzeniami mobilnymi.
Spis treści
Złośliwe oprogramowanie RustBucket macOS jest dostarczane w wielu etapach
Szkodliwe oprogramowanie RustBucket wykorzystuje wieloetapowe podejście do infekowania docelowych urządzeń Mac. Pierwszym etapem jest niepodpisana aplikacja o nazwie „Internal PDF Viewer”, która po uruchomieniu pobiera drugi etap szkodliwego oprogramowania z serwera Command-and-Control (C2).
Drugi etap złośliwego oprogramowania nosi tę samą nazwę – „Internal PDF Viewer”, ale tym razem jest to podpisana aplikacja, która ma wyglądać jak legalny identyfikator pakietu Apple (com.apple.pdfViewer) i ma ad-hoc podpis. Dzieląc złośliwe oprogramowanie na różne etapy, cyberprzestępcy utrudniają jego analizę, zwłaszcza jeśli serwer C2 przechodzi w tryb offline.
Uszkodzony plik PDF to ostatni element infekcji RustBucket
Jednak nawet na tym etapie RustBucket nie aktywuje żadnej ze swoich złośliwych funkcji. Aby pomyślnie aktywować jego prawdziwą funkcjonalność na zaatakowanym urządzeniu z systemem macOS, należy otworzyć określony plik PDF. Ten uszkodzony plik PDF jest zamaskowany jako dziewięciostronicowy dokument, który rzekomo zawiera informacje o firmach venture capital, które chcą inwestować w techniczne start-upy.
W rzeczywistości otwarcie pliku zakończy łańcuch infekcji RustBucket, uruchamiając wykonanie trojana o rozmiarze 11,2 MB, który również jest podpisany sygnaturą ad-hoc i napisany w języku Rust. Zagrożenie trojanem może wykonywać różne natrętne funkcje, takie jak przeprowadzanie rekonesansu systemu poprzez zbieranie podstawowych danych systemowych i uzyskiwanie listy aktualnie uruchomionych procesów. Zagrożenie wysyła również dane do atakujących, jeśli działa w środowisku wirtualnym.
Cyberprzestępcy zaczynają dostosowywać się do ekosystemu macOS
Wykorzystywanie złośliwego oprogramowania przez cyberprzestępców wskazuje na rosnący trend, w ramach którego system operacyjny macOS coraz częściej staje się celem cyberprzestępczości. Trend ten wynika z faktu, że cyberprzestępcy uznają, że muszą zaktualizować swoje narzędzia i taktyki, aby uwzględnić platformę Apple. Oznacza to, że znaczna liczba potencjalnych ofiar jest narażona na ataki hakerów, którzy dostosowali swoje strategie w celu wykorzystania luk w zabezpieczeniach systemów macOS.
