Шкідливе програмне забезпечення RustBucket
Експерти з кібербезпеки виявили нову форму шкідливого програмного забезпечення, яке спеціально розроблено для пристроїв Apple під керуванням macOS. Це загрозливе програмне забезпечення, відоме як RustBucket, використовується групою передових постійних загроз (APT) під назвою BlueNoroff, яка, як вважають, тісно пов’язана з сумнозвісною групою Lazarus або, можливо, навіть є підгрупою.
Примітно, що BlueNoroff раніше націлювався на системи на базі Windows за допомогою шкідливого програмного забезпечення, яке могло обійти протоколи безпеки Mark-of-the-Web. Нещодавно виявлена шкідлива програма macOS замаскована під легітимну програму перегляду PDF під назвою «Внутрішній засіб перегляду PDF», яка, здається, працює належним чином. Однак насправді це підступний інструмент, який використовується для отримання несанкціонованого доступу до конфіденційних даних у скомпрометованих системах. Подробиці про загрозу оприлюднила компанія з управління мобільними пристроями Jamf.
Зміст
Зловмисне програмне забезпечення RustBucket для macOS поставляється в кілька етапів
Зловмисне програмне забезпечення RustBucket використовує багатоетапний підхід для зараження цільових пристроїв Mac. Перший етап — це непідписана програма під назвою «Internal PDF Viewer», яка після виконання завантажує другу стадію зловмисного програмного забезпечення з сервера командного керування (C2).
Другий етап зловмисного програмного забезпечення має таку саму назву — «Внутрішній засіб перегляду PDF», але цього разу це підписана програма, яка виглядає як легітимний ідентифікатор комплекту Apple (com.apple.pdfViewer) і має спеціальну підпис. Поділяючи зловмисне програмне забезпечення на різні етапи, суб’єкти загрози ускладнюють аналіз, особливо якщо сервер C2 переходить у мережу.
Пошкоджений PDF-файл є останньою частиною зараження RustBucket
Однак навіть на цьому етапі RustBucket не активує жодних своїх шкідливих можливостей. Щоб успішно активувати його справжню функціональність на зламаному пристрої macOS, потрібно відкрити певний PDF-файл. Цей пошкоджений PDF-файл замаскований під документ із дев’яти сторінок, який нібито містить інформацію про компанії венчурного капіталу, які прагнуть інвестувати в технічні стартапи.
Насправді відкриття файлу завершить ланцюжок зараження RustBucket, ініціюючи виконання трояна розміром 11,2 МБ, який також підписаний спеціальним підписом і написаний на Rust. Троянська загроза може виконувати різноманітні втручальні функції, такі як проведення розвідки системи шляхом збору основних системних даних і отримання списку поточних запущених процесів. Загроза також надсилає дані зловмисникам, якщо вона працює у віртуальному середовищі.
Кіберзлочинці починають адаптуватися до екосистеми macOS
Використання шкідливого програмного забезпечення кіберзлочинцями підкреслює зростаючу тенденцію, за якою операційна система macOS все частіше стає мішенню для кіберзлочинців. Ця тенденція зумовлена тим фактом, що кіберзлочинці усвідомлюють, що їм потрібно оновити свої інструменти та тактику, щоб включити платформу Apple. Це означає, що значна кількість потенційних жертв ризикує стати мішенню зловмисників, які адаптували свої стратегії для використання вразливостей систем macOS.
