Вредоносное ПО RustBucket
Эксперты по кибербезопасности обнаружили новую форму вредоносного ПО, специально разработанную для устройств Apple под управлением macOS. Это угрожающее программное обеспечение, известное как RustBucket, используется группой продвинутых постоянных угроз (APT) под названием BlueNoroff, которая, как полагают, тесно связана или, возможно, даже является подгруппой печально известной группы Lazarus .
Примечательно, что BlueNoroff ранее нацеливался на системы на базе Windows, используя вредоносное ПО, которое могло обойти протоколы безопасности Mark-of-the-Web. Недавно обнаруженное вредоносное ПО для macOS маскируется под законное приложение для просмотра PDF-файлов под названием «Внутреннее средство просмотра PDF», которое, по-видимому, работает должным образом. Однако на самом деле это коварный инструмент, используемый для получения несанкционированного доступа к конфиденциальным данным на скомпрометированных системах. Подробности об угрозе были опубликованы Jamf, компанией по управлению мобильными устройствами.
Оглавление
Распространение вредоносного ПО RustBucket для macOS происходит в несколько этапов
Вредоносное ПО RustBucket использует многоэтапный подход для заражения целевых устройств Mac. Первый этап представляет собой неподписанное приложение под названием «Внутреннее средство просмотра PDF», которое после выполнения загружает вторую стадию вредоносного ПО с сервера управления и контроля (C2).
Второй этап вредоносной программы носит такое же название — «Внутреннее средство просмотра PDF», но на этот раз это подписанное приложение, которое выглядит как легитимный идентификатор пакета Apple (com.apple.pdfViewer) и имеет специальный подпись. Разделяя вредоносное ПО на разные этапы, злоумышленники затрудняют его анализ, особенно если сервер C2 отключается.
Поврежденный PDF-файл — последняя часть заражения RustBucket
Однако даже на этом этапе RustBucket не активирует ни одну из своих вредоносных возможностей. Чтобы успешно активировать его истинную функциональность на взломанном устройстве macOS, необходимо открыть определенный файл PDF. Этот поврежденный PDF-файл замаскирован под девятистраничный документ, содержащий информацию о венчурных фирмах, стремящихся инвестировать в технические стартапы.
На самом деле открытие файла завершит цепочку заражения RustBucket, запустив выполнение троянца размером 11,2 МБ, который также подписан специальной подписью и написан на Rust. Троянская угроза может выполнять различные навязчивые функции, такие как разведка системы путем сбора основных системных данных и получения списка запущенных в данный момент процессов. Угроза также отправляет данные злоумышленникам, если она работает в виртуальной среде.
Киберпреступники начинают адаптироваться к экосистеме macOS
Использование вредоносных программ киберпреступниками подчеркивает растущую тенденцию, когда операционная система macOS все чаще становится целью киберпреступников. Эта тенденция обусловлена тем фактом, что киберпреступники осознают, что им необходимо обновить свои инструменты и тактику, чтобы включить платформу Apple. Это означает, что значительное число потенциальных жертв рискуют стать мишенью злоумышленников, которые адаптировали свои стратегии для использования уязвимостей систем macOS.
