Multi-License Discount Quote
Hotdatabas Mac Malware RustDoor Bakdörr

RustDoor Bakdörr

Med Mezo år Mac Malware, Backdoors
Översätt till:
Svenska

En nyupptäckt macOS-bakdörr, kodad i Rust, har kopplats till välkända ransomware-grupper Black Basta och Alphv/BlackCat. Skadlig programvara, som heter RustDoor, utger sig för att Visual Studio stöder både Intel- och Arm-arkitekturer och har cirkulerat sedan november 2023 och lyckats undvika upptäckt i flera månader.

Forskare har identifierat olika versioner av RustDoor, som alla delar samma bakdörrsfunktion med mindre skillnader. Dessa varianter stöder alla en rad kommandon för filinsamling och exfiltrering, samt insamling av information om den infekterade enheten. Den insamlade informationen överförs sedan till en Command-and-Control-server (C&C), där ett offer-ID genereras och används i efterföljande kommunikation.

RustDoor-bakdörren har utvecklat sina osäkra funktioner

Den första versionen av RustDoor Backdoor, upptäckt i november 2023, verkar ha fungerat som en testversion. Den saknade en omfattande beständighetsmekanism och innehöll en "test" plist-fil.

Den andra varianten, som tros ha dykt upp en månad senare, hade större filer och inkluderade en sofistikerad JSON-konfiguration och ett Apple-skript designat för att exfiltrera specifika dokument från mapparna Dokument och Skrivbord och användarens anteckningar.

Efter att ha etablerat sig på komprometterade system, kopierar skadlig programvara riktade dokument och data till en dold mapp, komprimerar dem till ett ZIP-arkiv och överför dem sedan till Command-and-Control-servern (C&C). Vissa konfigurationer anger instruktioner för datainsamling, såsom maximal storlek och antal filer, listor över riktade tillägg och kataloger eller kataloger som ska uteslutas. Forskare fann också att RustDoors konfigurationsfil tillåter efterlikning av olika applikationer, med alternativ för att anpassa en falsk dialogruta för administratörslösenord.

JSON-konfigurationen refererar till fyra beständighetsmekanismer, som använder cronjobs, LaunchAgents (som resulterar i exekvering vid inloggning), modifiering av en fil för att säkerställa exekvering när en ny ZSH-session öppnas och binärfilen läggs till i dockan.

En tredje bakdörrsvariant har upptäckts, och det verkar vara originalet. Det saknar komplexiteten, Apple-skriptet och den inbäddade konfigurationen som finns i andra RustDoor-varianter.

Skadlig programvara använder tre C&C-servrar som tidigare var länkade till kampanjerna Black Basta och Alphv/BlackCat Ransomware. BlackCat, den första filkrypterande ransomwaren i programmeringsspråket Rust, dök upp 2021 och demonterades i december 2023.

Backdoor Malware-attacker kan få allvarliga följder för offer

Förekomsten av bakdörr skadlig programvara på användarnas enheter utgör betydande och varierande faror, eftersom det ger obehörig åtkomst till illvilliga aktörer. Här är några potentiella faror förknippade med att användarnas enheter är infekterade med skadlig programvara bakdörr:

  • Obehörig åtkomst och kontroll : Bakdörrar tillhandahåller en hemlig ingångspunkt för angripare, vilket gör att de kan få obehörig åtkomst till den infekterade enheten. Väl inne kan de ta kontroll över olika funktioner, manipulera filer och utföra kommandon utan användarens vetskap eller samtycke.
  • Datastöld och exfiltrering : Bakdörrar möjliggör ofta stöld och exfiltrering av känslig data som lagras på den komprometterade enheten. Angripare kan komma åt personlig information, ekonomisk data, inloggningsuppgifter och annan konfidentiell data, vilket leder till potentiell identitetsstöld, ekonomisk förlust eller integritetsintrång.
  • Spionage och övervakning : Bakdörr skadlig programvara förknippas vanligtvis med spionageaktiviteter. Angripare kan använda bakdörren för att spionera på användare, övervaka deras aktiviteter, ta skärmdumpar, spela in tangenttryckningar och till och med komma åt webbkameror eller mikrofoner, vilket äventyrar användarnas integritet.
  • Utplacering av ransomware : Bakdörrar används ibland som en gateway för att distribuera ransomware. När angripare väl får åtkomst genom en bakdörr kan de kryptera användarens filer och kräva en lösensumma för deras frigivning, vilket orsakar betydande störningar och ekonomisk förlust.
  • Systemmanipulation och avbrott : Bakdörrar kan tillåta angripare att manipulera systeminställningar, störa normala funktioner eller till och med inaktivera säkerhetsåtgärder. Detta kan leda till systeminstabilitet och krascher och göra det utmanande för användare att använda sina enheter effektivt.
  • Spridning och nätverksspridning : Vissa bakdörrar har självreplikeringsmöjligheter, vilket gör att de kan spridas över nätverk och infektera andra enheter. Detta kan resultera i att hela nätverk kompromissar, vilket påverkar flera användare och organisationer.
  • Kompromissad nätverkssäkerhet : Bakdörrar kan användas för att kringgå nätverkssäkerhetsåtgärder, vilket gör det lättare för angripare att infiltrera bredare organisatoriska nätverk. Detta kan leda till ytterligare säkerhetsintrång och äventyra integriteten hos känslig företags- eller myndighetsinformation.

För att mildra dessa risker är det avgörande för användare att använda robusta cybersäkerhetsåtgärder, inklusive regelbundna programuppdateringar, användning av välrenommerade antivirusprogram och utöva säkra onlinebeteenden för att undvika att falla offer för bakdörrsattacker med skadlig programvara. Dessutom bör organisationer implementera starka nätverkssäkerhetsprotokoll för att upptäcka och hantera potentiella hot omedelbart.

Trendigt

Mest sedda

Läser in...