Malware RustBucket
Ekspertët e sigurisë kibernetike kanë identifikuar një formë të re të malware që është krijuar posaçërisht për të synuar pajisjet Apple që përdorin macOS. Ky softuer kërcënues, i njohur si RustBucket, po përdoret nga një grup i avancuar i kërcënimit të vazhdueshëm (APT) i quajtur BlueNoroff, i cili besohet të jetë i lidhur ngushtë ose ndoshta edhe një nëngrup i grupit famëkeq Lazarus .
Veçanërisht, BlueNoroff ka synuar më parë sistemet e bazuara në Windows duke përdorur malware që ishin në gjendje të anashkalonin protokollet e sigurisë Mark-of-the-Web. Malware i sapo zbuluar macOS është maskuar si një aplikacion legjitim i shikuesit PDF i quajtur 'Internal PDF Viewer' që duket se funksionon siç pritej. Megjithatë, në realitet, është një mjet tinëzar që përdoret për të fituar akses të paautorizuar në të dhënat e ndjeshme në sistemet e komprometuara. Detajet rreth kërcënimit u publikuan nga Jamf, një kompani e menaxhimit të pajisjeve celulare.
Tabela e Përmbajtjes
Malware RustBucket macOS shpërndahet në faza të shumëfishta
Malware RustBucket përdor një qasje me shumë faza për të infektuar pajisjet e synuara Mac. Faza e parë është një aplikacion i panënshkruar i quajtur 'Internal PDF Viewer', i cili, pas ekzekutimit, shkarkon fazën e dytë të malware nga një server Command-and-Control (C2).
Faza e dytë e malware mban të njëjtin emër - 'Internal PDF Viewer', por këtë herë, është një aplikacion i nënshkruar që është krijuar për t'u dukur si një identifikues legjitim i paketave të Apple (com.apple.pdfViewer) dhe ka një ad-hoc nënshkrim. Duke e ndarë malware-in në faza të ndryshme, aktorët e kërcënimit e bëjnë më të vështirë analizimin, veçanërisht nëse serveri C2 del jashtë linje.
Një skedar PDF i korruptuar është pjesa e fundit e infeksionit RustBucket
Sidoqoftë, edhe në këtë fazë, RustBucket nuk do të aktivizojë asnjë nga aftësitë e tij me qëllim të keq. Për të aktivizuar me sukses funksionalitetin e tij të vërtetë në pajisjen macOS të dëmtuar, duhet të hapet një skedar specifik PDF. Ky skedar PDF i korruptuar është i maskuar si një dokument me nëntë faqe që pretendon të përmbajë informacione rreth firmave të kapitalit sipërmarrës që kërkojnë të investojnë në startup-et teknike.
Në realitet, hapja e skedarit do të kompletojë zinxhirin e infeksionit RustBucket duke shkaktuar ekzekutimin e një trojan 11,2 MB që është gjithashtu i nënshkruar me një nënshkrim ad-hoc dhe i shkruar në Rust. Kërcënimi i Trojanit mund të kryejë funksione të ndryshme ndërhyrëse, të tilla si kryerja e zbulimit të sistemit duke mbledhur të dhëna bazë të sistemit dhe duke marrë një listë të proceseve që po ekzekutohen aktualisht. Kërcënimi gjithashtu u dërgon të dhëna sulmuesve nëse po funksionon në një mjedis virtual.
Kriminelët kibernetikë po fillojnë të përshtaten me ekosistemin macOS
Përdorimi i malware nga sulmuesit kibernetikë nxjerr në pah një prirje në rritje në të cilën sistemi operativ macOS po bëhet gjithnjë e më shumë një objektiv i krimit kibernetik. Ky trend nxitet nga fakti se kriminelët kibernetikë po e kuptojnë se duhet të përditësojnë mjetet dhe taktikat e tyre për të përfshirë platformën Apple. Kjo do të thotë se një numër i konsiderueshëm i viktimave të mundshme janë në rrezik për t'u shënjestruar nga sulmuesit që kanë përshtatur strategjitë e tyre për të shfrytëzuar dobësitë e sistemeve macOS.
