Škodlivý softvér RustBucket
Odborníci na kybernetickú bezpečnosť identifikovali novú formu malvéru, ktorý je špeciálne navrhnutý tak, aby cielil na zariadenia Apple so systémom macOS. Tento hrozivý softvér, známy ako RustBucket, využíva skupina pokročilých perzistentných hrozieb (APT) s názvom BlueNoroff, o ktorej sa predpokladá, že je úzko prepojená s alebo možno dokonca podskupinou notoricky známej skupiny Lazarus .
Je pozoruhodné, že BlueNoroff sa predtým zameral na systémy založené na Windowse pomocou malvéru, ktorý dokázal obísť bezpečnostné protokoly Mark-of-the-Web. Novoobjavený malvér macOS je maskovaný ako legitímna aplikácia na prehliadanie PDF s názvom „Interný prehliadač PDF“, ktorá podľa všetkého funguje podľa očakávania. V skutočnosti však ide o zákerný nástroj slúžiaci na získanie neoprávneného prístupu k citlivým údajom na napadnutých systémoch. Podrobnosti o hrozbe zverejnila spoločnosť Jamf, ktorá sa zaoberá správou mobilných zariadení.
Obsah
Malvér RustBucket macOS sa dodáva vo viacerých fázach
Malvér RustBucket využíva na infikovanie cieľových zariadení Mac viacstupňový prístup. Prvou fázou je nepodpísaná aplikácia s názvom „Internal PDF Viewer“, ktorá po spustení stiahne druhú fázu malvéru zo servera Command-and-Control (C2).
Druhá fáza malvéru nesie rovnaký názov – „Interný prehliadač PDF“, ale tentoraz ide o podpísanú aplikáciu, ktorá je navrhnutá tak, aby vyzerala ako legitímny identifikátor balíka Apple (com.apple.pdfViewer) a má ad-hoc podpis. Rozdelením malvéru do rôznych štádií aktéri hrozby sťažujú analýzu, najmä ak sa server C2 prepne do režimu offline.
Poškodený súbor PDF je posledným kúskom infekcie RustBucket
Ani v tejto fáze však RustBucket neaktivuje žiadnu zo svojich škodlivých schopností. Na úspešnú aktiváciu jeho skutočnej funkčnosti na narušenom zariadení macOS je potrebné otvoriť konkrétny súbor PDF. Tento poškodený súbor PDF je maskovaný ako deväťstranový dokument, ktorý má obsahovať informácie o firmách rizikového kapitálu, ktoré sa snažia investovať do technických startupov.
V skutočnosti otvorenie súboru dokončí reťaz infekcie RustBucket spustením spustenia 11,2 MB trójskeho koňa, ktorý je tiež podpísaný ad-hoc podpisom a napísaný v Ruste. Hrozba trójskych koní môže vykonávať rôzne rušivé funkcie, ako je napríklad vykonávanie prieskumu systému zhromažďovaním základných systémových údajov a získavaním zoznamu aktuálne spustených procesov. Hrozba tiež odosiela údaje útočníkom, ak je spustená vo virtuálnom prostredí.
Kyberzločinci sa začínajú prispôsobovať ekosystému macOS
Využitie malvéru kybernetickými útočníkmi poukazuje na rastúci trend, v rámci ktorého sa operačný systém macOS čoraz viac stáva cieľom počítačovej kriminality. Tento trend je poháňaný skutočnosťou, že počítačoví zločinci si uvedomujú, že potrebujú aktualizovať svoje nástroje a taktiky, aby zahŕňali platformu Apple. To znamená, že značnému počtu potenciálnych obetí hrozí, že sa stanú terčom útočníkov, ktorí prispôsobili svoje stratégie tak, aby zneužili zraniteľné miesta systémov macOS.
