RustBucket Malware
Natukoy ng mga eksperto sa cybersecurity ang isang bagong anyo ng malware na partikular na idinisenyo upang i-target ang mga Apple device na nagpapatakbo ng macOS. Ang nagbabantang software na ito, na kilala bilang RustBucket, ay ginagamit ng isang advanced na paulit-ulit na pagbabanta (APT) na grupo na tinatawag na BlueNoroff, na pinaniniwalaang malapit na nauugnay sa o posibleng kahit isang sub-grupo ng kilalang Lazarus group.
Kapansin-pansin, dati nang na-target ng BlueNoroff ang mga sistemang nakabatay sa Windows gamit ang malware na nagawang iwasan ang mga protocol ng seguridad ng Mark-of-the-Web. Ang bagong natuklasang macOS malware ay disguised bilang isang lehitimong PDF viewer application na tinatawag na 'Internal PDF Viewer' na lumilitaw na gumagana tulad ng inaasahan. Gayunpaman, sa katotohanan, ito ay isang mapanlinlang na tool na ginagamit upang makakuha ng hindi awtorisadong pag-access sa sensitibong data sa mga nakompromisong system. Ang mga detalye tungkol sa banta ay inilabas ng Jamf, isang kumpanya ng pamamahala ng mobile device.
Talaan ng mga Nilalaman
Ang RustBucket macOS Malware ay Inihahatid sa Maramihang Mga Yugto
Gumagamit ang RustBucket malware ng multi-stage na diskarte upang mahawahan ang mga naka-target na Mac device. Ang unang yugto ay isang hindi nilagdaan na application na tinatawag na 'Internal PDF Viewer,' na, kapag naisakatuparan, dina-download ang pangalawang yugto ng malware mula sa isang Command-and-Control (C2) server.
Ang ikalawang yugto ng malware ay may parehong pangalan - 'Internal PDF Viewer,' ngunit sa pagkakataong ito, ito ay isang nilagdaang application na idinisenyo upang magmukhang isang lehitimong Apple bundle identifier (com.apple.pdfViewer) at may ad-hoc pirma. Sa pamamagitan ng paghahati sa malware sa iba't ibang yugto, ginagawang mas mahirap ang pag-analisa ng mga banta ng aktor, lalo na kung offline ang C2 server.
Ang Sirang PDF File ay ang Huling Bahagi ng RustBucket Infection
Gayunpaman, kahit na sa yugtong ito, hindi isaaktibo ng RustBucket ang alinman sa mga nakakahamak na kakayahan nito. Upang matagumpay na maisaaktibo ang tunay na pag-andar nito sa nalabag na macOS device, dapat buksan ang isang partikular na PDF file. Ang sirang PDF file na ito ay disguised bilang isang siyam na pahinang dokumento na naglalayong naglalaman ng impormasyon tungkol sa mga venture capital firm na naglalayong mamuhunan sa mga teknikal na startup.
Sa totoo lang, ang pagbukas ng file ay makukumpleto ang RustBucket infection chain sa pamamagitan ng pag-trigger ng pagpapatupad ng 11.2 MB Trojan na nilagdaan din ng ad-hoc signature at nakasulat sa Rust. Ang banta ng Trojan ay maaaring magsagawa ng iba't ibang mga nakakasagabal na function, tulad ng pagsasagawa ng system reconnaissance sa pamamagitan ng pagkolekta ng pangunahing data ng system at pagkuha ng listahan ng mga kasalukuyang tumatakbong proseso. Ang banta ay nagpapadala rin ng data sa mga umaatake kung ito ay tumatakbo sa isang virtual na kapaligiran.
Ang mga Cybercriminal ay Nagsisimulang Mag-adapt sa macOS Ecosystem
Ang paggamit ng malware ng mga cyber attacker ay nagpapakita ng lumalagong trend kung saan ang macOS operating system ay lalong nagiging target para sa cybercrime. Ang trend na ito ay hinihimok ng katotohanan na kinikilala ng mga cybercriminal na kailangan nilang i-update ang kanilang mga tool at taktika upang maisama ang platform ng Apple. Nangangahulugan ito na ang isang malaking bilang ng mga potensyal na biktima ay nasa panganib na ma-target ng mga umaatake na inangkop ang kanilang mga diskarte upang pagsamantalahan ang mga kahinaan ng mga macOS system.
