Malware RustBucket
Experții în securitate cibernetică au identificat o nouă formă de malware care este special concepută pentru a viza dispozitivele Apple care rulează macOS. Acest software amenințător, cunoscut sub numele de RustBucket, este utilizat de un grup avansat de amenințări persistente (APT) numit BlueNoroff, despre care se crede că este strâns legat sau poate chiar este un subgrup al notoriului grup Lazarus .
În special, BlueNoroff a vizat anterior sisteme bazate pe Windows folosind programe malware care au putut eluda protocoalele de securitate Mark-of-the-Web. Malware-ul macOS recent descoperit este deghizat ca o aplicație legitimă de vizualizare PDF numită „Internal PDF Viewer”, care pare să funcționeze conform așteptărilor. Cu toate acestea, în realitate, este un instrument insidios folosit pentru a obține acces neautorizat la date sensibile din sistemele compromise. Detalii despre amenințare au fost publicate de Jamf, o companie de gestionare a dispozitivelor mobile.
Cuprins
Programul malware RustBucket macOS este livrat în mai multe etape
Malware RustBucket utilizează o abordare în mai multe etape pentru a infecta dispozitivele Mac vizate. Prima etapă este o aplicație nesemnată numită „Internal PDF Viewer”, care, la execuție, descarcă a doua etapă a malware-ului de pe un server Command-and-Control (C2).
A doua etapă a malware-ului poartă același nume - „Internal PDF Viewer”, dar de data aceasta este o aplicație semnată care este proiectată să arate ca un identificator legitim de pachet Apple (com.apple.pdfViewer) și are un ad-hoc. semnătură. Împărțind malware-ul în diferite etape, actorii amenințărilor fac mai dificil de analizat, mai ales dacă serverul C2 este offline.
Un fișier PDF corupt este ultima parte a infecției RustBucket
Cu toate acestea, chiar și în această etapă, RustBucket nu va activa niciuna dintre capabilitățile sale rău intenționate. Pentru a activa cu succes adevărata sa funcționalitate pe dispozitivul macOS încălcat, trebuie deschis un anumit fișier PDF. Acest fișier PDF corupt este deghizat într-un document de nouă pagini care pretinde să conțină informații despre firmele cu capital de risc care doresc să investească în startup-uri tehnice.
În realitate, deschiderea fișierului va completa lanțul de infecție RustBucket prin declanșarea execuției unui troian de 11,2 MB care este, de asemenea, semnat cu o semnătură ad-hoc și scris în Rust. Amenințarea troiană poate îndeplini diverse funcții intruzive, cum ar fi efectuarea recunoașterii sistemului prin colectarea datelor de bază ale sistemului și obținerea unei liste a proceselor care rulează în prezent. Amenințarea trimite și date atacatorilor dacă rulează într-un mediu virtual.
Infractorii cibernetici încep să se adapteze la ecosistemul macOS
Utilizarea malware-ului de către atacatorii cibernetici evidențiază o tendință în creștere în care sistemul de operare macOS devine din ce în ce mai mult o țintă a criminalității cibernetice. Această tendință este determinată de faptul că infractorii cibernetici recunosc că trebuie să-și actualizeze instrumentele și tacticile pentru a include platforma Apple. Aceasta înseamnă că un număr substanțial de victime potențiale riscă să fie vizate de atacatori care și-au adaptat strategiile pentru a exploata vulnerabilitățile sistemelor macOS.
