РустБуцкет Малваре
Стручњаци за сајбер безбедност идентификовали су нови облик малвера који је посебно дизајниран да циља Аппле уређаје који користе мацОС. Овај претећи софтвер, познат као РустБуцкет, користи напредна група за трајне претње (АПТ) под називом БлуеНорофф, за коју се верује да је уско повезана са или можда чак и подгрупа озлоглашене Лазарус групе.
Приметно је да је БлуеНорофф раније циљао системе засноване на Виндовс-у користећи злонамерни софтвер који је могао да заобиђе безбедносне протоколе Марк-оф-тхе-Веб. Новооткривени мацОС малвер је прерушен у легитимну апликацију за прегледање ПДФ-а под називом „Интернал ПДФ Виевер“ која изгледа да функционише како се очекивало. Међутим, у стварности, то је подмукао алат који се користи за добијање неовлашћеног приступа осетљивим подацима на компромитованим системима. Детаље о претњи објавио је Јамф, компанија за управљање мобилним уређајима.
Преглед садржаја
РустБуцкет мацОС малвер се испоручује у више фаза
РустБуцкет злонамерни софтвер користи вишестепени приступ да инфицира циљане Мац уређаје. Прва фаза је непотписана апликација под називом 'Интернал ПДФ Виевер', која, након извршења, преузима другу фазу малвера са сервера за команду и контролу (Ц2).
Друга фаза злонамерног софтвера носи исто име - 'Интернал ПДФ Виевер', али овог пута, то је потписана апликација која је дизајнирана да изгледа као легитимни идентификатор Аппле пакета (цом.аппле.пдфВиевер) и има ад-хоц потпис. Делећи малвер у различите фазе, актери претњи отежавају анализу, посебно ако Ц2 сервер оде ван мреже.
Оштећена ПДФ датотека је последњи део инфекције РустБуцкет
Међутим, чак и у овој фази, РустБуцкет неће активирати ниједну од својих злонамерних могућности. Да бисте успешно активирали његову праву функционалност на оштећеном мацОС уређају, мора се отворити одређена ПДФ датотека. Ова оштећена ПДФ датотека је прерушена у документ од девет страница који наводно садржи информације о компанијама ризичног капитала које желе да инвестирају у техничке стартапове.
У стварности, отварање датотеке ће довршити ланац инфекције РустБуцкет-ом тако што ће покренути извршење 11,2 МБ тројанца који је такође потписан ад-хоц потписом и написан у Руст-у. Тројанска претња може да обавља различите интрузивне функције, као што је извиђање система прикупљањем основних системских података и добијањем листе тренутно покренутих процеса. Претња такође шаље податке нападачима ако ради у виртуелном окружењу.
Сајбер криминалци почињу да се прилагођавају екосистему мацОС-а
Коришћење малвера од стране сајбер нападача наглашава растући тренд у којем оперативни систем мацОС све више постаје мета сајбер криминала. Овај тренд је вођен чињеницом да сајбер криминалци схватају да морају да ажурирају своје алате и тактике како би укључили Аппле платформу. То значи да је значајан број потенцијалних жртава у опасности да буду на мети нападача који су прилагодили своје стратегије да искористе рањивости мацОС система.
