RustDoor Ușă din spate

O ușă din spate macOS recent descoperită, codificată în Rust, a fost legată de binecunoscutele grupuri de ransomware Black Basta și Alphv/BlackCat. Numit RustDoor, malware-ul pretinde că Visual Studio acceptă atât arhitecturi Intel, cât și Arm și circulă din noiembrie 2023, reușind să evite detectarea timp de mai multe luni.

Cercetătorii au identificat diferite versiuni de RustDoor, toate împărtășind aceeași funcționalitate backdoor cu diferențe minore. Toate aceste variante acceptă o serie de comenzi pentru recoltarea și exfiltrarea fișierelor, precum și pentru colectarea de informații despre dispozitivul infectat. Datele colectate sunt apoi transmise către un server de comandă și control (C&C), unde este generat un ID de victimă și utilizat în comunicațiile ulterioare.

Ușa din spate RustDoor și-a evoluat capacitățile nesigure

Versiunea inițială a RustDoor Backdoor, detectată în noiembrie 2023, pare să fi funcționat ca o versiune de testare. Nu avea un mecanism cuprinzător de persistență și prezenta un fișier plist „test”.

A doua variantă, despre care se crede că a apărut o lună mai târziu, avea fișiere mai mari și includea o configurație JSON sofisticată și un script Apple conceput pentru a exfiltra anumite documente din folderele Documente și Desktop și notele utilizatorului.

După ce se instalează pe sisteme compromise, malware-ul copiează documentele și datele vizate într-un folder ascuns, le comprimă într-o arhivă ZIP și apoi le transmite către serverul Command-and-Control (C&C). Unele configurații specifică instrucțiuni de colectare a datelor, cum ar fi dimensiunea și numărul maxim de fișiere, liste de extensii și directoare vizate sau directoare de exclus. Cercetătorii au descoperit, de asemenea, că fișierul de configurare al lui RustDoor permite uzurparea identității diferitelor aplicații, cu opțiuni de personalizare a dialogului pentru parola de administrator falsificat.

Configurația JSON face referire la patru mecanisme de persistență, utilizând cronjobs, LaunchAgents (rezultând execuția la conectare), modificând un fișier pentru a asigura execuția la deschiderea unei noi sesiuni ZSH și adăugarea binarului la andocare.

O a treia variantă de ușă din spate a fost descoperită și pare a fi cea originală. Îi lipsesc complexitatea, scriptul Apple și configurația încorporată prezente în alte variante RustDoor.

Malware-ul utilizează trei servere C&C conectate anterior la campaniile Black Basta și Alphv/BlackCat Ransomware. BlackCat, primul ransomware de criptare a fișierelor în limbajul de programare Rust, a apărut în 2021 și a fost demontat în decembrie 2023.

Atacurile malware din ușile din spate pot avea repercusiuni grave asupra victimelor

Prezența malware-ului backdoor pe dispozitivele utilizatorilor prezintă pericole semnificative și variate, deoarece acordă acces neautorizat actorilor rău intenționați. Iată câteva pericole potențiale asociate cu infectarea dispozitivelor utilizatorilor cu malware backdoor:

• Acces și control neautorizat : ușile din spate oferă un punct de intrare secret pentru atacatori, permițându-le să obțină acces neautorizat la dispozitivul infectat. Odată înăuntru, aceștia pot prelua controlul asupra diferitelor funcții, pot manipula fișiere și pot executa comenzi fără știrea sau acordul utilizatorului.
• Furtul și exfiltrarea datelor : ușile din spate permit adesea furtul și exfiltrarea datelor sensibile stocate pe dispozitivul compromis. Atacatorii pot accesa informații personale, date financiare, acreditări de conectare și alte date confidențiale, ceea ce duce la potențiale furt de identitate, pierderi financiare sau încălcări ale confidențialității.
• Spionaj și Supraveghere : malware-ul Backdoor este de obicei asociat cu activitățile de spionaj. Atacatorii pot folosi ușa din spate pentru a spiona utilizatorii, a le monitoriza activitățile, a face capturi de ecran, a înregistra apăsările de taste și chiar pentru a accesa camere web sau microfoane, compromițând confidențialitatea utilizatorilor.
• Implementarea ransomware : ușile din spate sunt uneori folosite ca o poartă pentru implementarea ransomware. Odată ce atacatorii obțin acces printr-o ușă din spate, aceștia pot cripta fișierele utilizatorului și pot cere o răscumpărare pentru eliberarea lor, provocând perturbări semnificative și pierderi financiare.
• Manipularea și întreruperea sistemului : ușile din spate pot permite atacatorilor să manipuleze setările sistemului, să întrerupă operațiunile normale sau chiar să dezactiveze măsurile de securitate. Acest lucru poate duce la instabilitate și blocări ale sistemului și poate face ca utilizatorii să își folosească dispozitivele în mod eficient.
• Propagare și răspândire în rețea : Unele uși din spate au capacități de auto-replicare, permițându-le să se răspândească în rețele și să infecteze alte dispozitive. Acest lucru poate duce la compromiterea rețelelor întregi, afectând mai mulți utilizatori și organizații.
• Securitate de rețea compromisă : ușile din spate pot fi folosite pentru a ocoli măsurile de securitate a rețelei, facilitând infiltrarea atacatorilor în rețele organizaționale mai largi. Acest lucru poate duce la încălcări suplimentare de securitate și poate compromite integritatea informațiilor corporative sau guvernamentale sensibile.

Pentru a atenua aceste riscuri, este esențial ca utilizatorii să folosească măsuri de securitate cibernetică robuste, inclusiv actualizări regulate de software, utilizarea de programe antivirus de renume și practicarea unor comportamente online sigure pentru a evita să cadă victima atacurilor malware din spate. În plus, organizațiile ar trebui să implementeze protocoale puternice de securitate a rețelei pentru a detecta și gestiona cu promptitudine potențialele amenințări.