RustBucket Mac Malware tilskrevet BlueNoroff Threat Actor

Jamf, et mobilenhedsadministrationsfirma, har identificeret en ny malware kaldet RustBucket, der bliver brugt til at målrette Apple-enheder.

Malwaren menes at være forbundet med BlueNoroffs avancerede vedvarende trusselgruppe, en undergruppe af Lazarus, en berygtet trusselsgruppe. Malwaren er forklædt som en legitim PDF-fremviser-app med navnet Internal PDF Viewer, og den består af to faser.

Den første fase er en usigneret app, der downloader den anden fase fra kommando- og kontrolserveren. Den anden fase er en signeret applikation, der er forklædt som en legitim Apple-bundt-id.

To-trinsdesignet af RustBucket malware gør det vanskeligt at analysere, især hvis kommando- og kontrolserveren går offline. I øjeblikket registrerer kun få sikkerhedsleverandører begge stadier af RustBucket. Udførelsen af angrebet kræver dog, at den korrekte PDF-fil åbnes, hvilket igangsætter kommunikationen mellem angriberen og malwaren. For at undgå at blive ofre for RustBucket bør macOS-brugere holde Gatekeeper aktiv hele tiden.

Hvordan distribueres malware som RustBucket?

Den nøjagtige distributionsmetode for RustBucket malware er ikke klar på nuværende tidspunkt. Det menes dog, at malwaren sandsynligvis spredes gennem phishing-e-mails eller ved at udnytte sårbarheder i det målrettede system. Malwaren er forklædt som en legitim PDF-fremviser-app, som kan narre brugere til at tro, at den er sikker at downloade og udføre.

Når det er installeret, har RustBucket mulighed for at downloade yderligere malware-komponenter fra en kommando- og kontrolserver, som gør det muligt for angriberen at tage kontrol over det inficerede system. Det er vigtigt for brugere at udvise forsigtighed, når de åbner vedhæftede filer eller downloader software, og holder deres operativsystem og sikkerhedssoftware opdateret for at reducere risikoen for infektion.