RustDoor Bagdør er rettet mod macOS-systemer
Forskere har opdaget en ny macOS-bagdør kodet i Rust, hvilket tyder på forbindelser til ransomware-familierne Black Basta og Alphv/BlackCat. Ved navn RustDoor foregiver malwaren sig at være Visual Studio, der understøtter både Intel- og Arm-arkitekturer, og den har været i omløb siden november 2023, og med succes undgået opdagelse i cirka tre måneder. Flere varianter af RustDoor er blevet identificeret, som alle deler den samme bagdørsfunktionalitet med små forskelle.
Disse analyserede prøver af RustDoor udviser evnen til at udføre forskellige kommandoer til filindsamling og -eksfiltrering samt indsamling af information om det inficerede system. De indsamlede data sendes derefter til en kommando-og-kontrol-server (C&C) og genererer et offer-id til efterfølgende kommunikation.
Rust går tilbage til slutningen af 2023
Den oprindelige variant, opdaget i november 2023, så ud til at være en testversion, der mangler en komplet persistensmekanisme og indeholdt en 'test' plist-fil. Den anden variant, der blev observeret i slutningen af november, havde større filer, en indviklet JSON-konfiguration og et Apple-script designet til at udtrække specifikke dokumenter fra mapperne Dokumenter og Desktop, inklusive brugernoter. Denne variant skjulte de kopierede dokumenter i en skjult mappe og komprimerede dem til et ZIP-arkiv, før de blev sendt til C&C-serveren.
Forskere fandt ud af, at RustDoor-konfigurationsfilen indeholder muligheder for at efterligne forskellige applikationer, hvilket giver mulighed for at tilpasse en simuleret administratoradgangskodedialog. Nogle konfigurationer specificerer data, der skal indsamles, såsom maksimal størrelse og antal filer, målrettede udvidelser og mapper eller mapper, der skal udelukkes.
JSON-konfigurationen refererer også til fire persistensmekanismer: Brug af cronjobs, anvendelse af LaunchAgents til udførelse ved login, ændring af en fil til udførelse, når en ny ZSH-session åbnes, og tilføjelse af binæren til docken.
Derudover er en tredje variant blevet identificeret, som forskere mener er den originale, første gang observeret den 2. november. Denne variant er mindre kompleks og mangler Apple-scriptet og den indlejrede konfiguration, der findes i senere versioner.
