RustBucket Malware
Os especialistas em segurança cibernética identificaram uma nova forma de malware projetada especificamente para atingir dispositivos Apple com macOS. Este software ameaçador, conhecido como RustBucket, está sendo utilizado por um grupo de ameaça persistente avançada (APT) chamado BlueNoroff, que se acredita estar intimamente ligado ou possivelmente até mesmo um subgrupo do notório grupo Lazarus.
Notavelmente, o BlueNoroff já tinha como alvo sistemas baseados no Windows usando malware capaz de burlar os protocolos de segurança Mark-of-the-Web. O recém-descoberto malware macOS está disfarçado como um aplicativo visualizador de PDF legítimo chamado 'Internal PDF Viewer', que parece funcionar conforme o esperado. No entanto, na realidade, é uma ferramenta insidiosa usada para obter acesso não autorizado a dados confidenciais em sistemas comprometidos. Detalhes sobre a ameaça foram divulgados pela Jamf, uma empresa de gerenciamento de dispositivos móveis.
Índice
O macOS Malware RustBucket é Entregue em Vários Estágios
O malware RustBucket usa uma abordagem de vários estágios para infectar os dispositivos Mac visados. O primeiro estágio é um aplicativo não assinado chamado 'Internal PDF Viewer', que, após a execução, baixa o segundo estágio do malware de um servidor de Comando e Controle (C2).
O segundo estágio do malware carrega o mesmo nome - 'Internal PDF Viewer', mas desta vez, é um aplicativo assinado projetado para se parecer com um identificador de pacote legítimo da Apple (com.apple.pdfViewer) e tem um ad-hoc assinatura. Ao dividir o malware em diferentes estágios, os agentes da ameaça dificultam a análise, principalmente se o servidor C2 ficar offline.
Um Arquivo PDF Corrompido é a Última Parte da Infecção pelo RustBucket
No entanto, mesmo nesta fase, o RustBucket não ativará nenhum de seus recursos maliciosos. Para ativar com sucesso sua verdadeira funcionalidade no dispositivo macOS violado, um arquivo PDF específico deve ser aberto. Este arquivo PDF corrompido está disfarçado como um documento de nove páginas que pretende conter informações sobre empresas de capital de risco que buscam investir em startups técnicas.
Na realidade, abrir o arquivo completará a cadeia de infecção do RustBucket ao desencadear a execução de um Trojan de 11,2 MB que também é assinado com uma assinatura ad hoc e escrito em Rust. A ameaça de Trojan pode executar várias funções intrusivas, como realizar o reconhecimento do sistema, coletando dados básicos do sistema e obtendo uma lista dos processos em execução no momento. A ameaça também envia dados para os invasores se estiver sendo executada em um ambiente virtual.
Os Cibercriminosos estão Começando a Se Adaptar ao Ecossistema do macOS
A utilização de malware por invasores cibernéticos destaca uma tendência crescente na qual o sistema operacional macOS está se tornando cada vez mais um alvo para crimes cibernéticos. Essa tendência é impulsionada pelo fato de que os cibercriminosos estão reconhecendo que precisam atualizar suas ferramentas e táticas para incluir a plataforma da Apple. Isso significa que um número substancial de vítimas em potencial corre o risco de ser alvo de invasores que adaptaram suas estratégias para explorar as vulnerabilidades dos sistemas macOS.
