RustBucket Malware
Cybersäkerhetsexperter har identifierat en ny form av skadlig programvara som är speciellt utformad för att rikta in sig på Apple-enheter som kör macOS. Den här hotfulla programvaran, känd som RustBucket, används av en avancerad grupp med ihållande hot (APT) kallad BlueNoroff, som tros vara nära kopplad till eller möjligen till och med en undergrupp av den ökända Lazarus -gruppen.
BlueNoroff har tidigare riktat in sig på Windows-baserade system med skadlig programvara som kunde kringgå Mark-of-the-Web-säkerhetsprotokoll. Den nyupptäckta macOS skadliga programvaran är förklädd som en legitim PDF-visningsprogram som heter "Internal PDF Viewer" som verkar fungera som förväntat. Men i verkligheten är det ett lömskt verktyg som används för att få obehörig åtkomst till känsliga data på komprometterade system. Detaljer om hotet släpptes av Jamf, ett företag för hantering av mobila enheter.
Innehållsförteckning
RustBucket macOS Malware levereras i flera steg
Skadlig programvara RustBucket använder en flerstegsmetod för att infektera de riktade Mac-enheterna. Det första steget är en osignerad applikation som heter "Internal PDF Viewer", som vid körning laddar ner det andra steget av skadlig programvara från en Command-and-Control-server (C2).
Det andra steget av skadlig programvara har samma namn - "Intern PDF Viewer", men den här gången är det ett signerat program som är designat för att se ut som en legitim Apple-paketidentifierare (com.apple.pdfViewer) och har en ad-hoc signatur. Genom att dela upp skadlig programvara i olika stadier gör hotaktörerna det svårare att analysera, särskilt om C2-servern går offline.
En skadad PDF-fil är den sista delen av RustBucket-infektionen
Men även i detta skede kommer RustBucket inte att aktivera någon av dess skadliga funktioner. För att framgångsrikt aktivera dess verkliga funktionalitet på den skadade macOS-enheten måste en specifik PDF-fil öppnas. Den här skadade PDF-filen är förklädd som ett niosidigt dokument som utger sig för att innehålla information om riskkapitalföretag som vill investera i tekniska startups.
I verkligheten kommer öppning av filen att slutföra RustBuckets infektionskedja genom att utlösa körningen av en 11,2 MB trojan som också är signerad med en ad-hoc-signatur och skriven i Rust. Det trojanska hotet kan utföra olika påträngande funktioner, som att utföra systemspaning genom att samla in grundläggande systemdata och få en lista över de processer som körs för närvarande. Hotet skickar också data till angriparna om det körs i en virtuell miljö.
Cyberkriminella börjar anpassa sig till macOS ekosystem
Användningen av skadlig programvara av cyberangripare belyser en växande trend där operativsystemet macOS blir alltmer ett mål för cyberbrottslighet. Denna trend drivs av det faktum att cyberbrottslingar inser att de behöver uppdatera sina verktyg och taktik för att inkludera Apple-plattformen. Detta innebär att ett stort antal potentiella offer riskerar att bli måltavla av angripare som har anpassat sina strategier för att utnyttja sårbarheterna i macOS-system.
