RustBucket-Mac-Malware, die dem BlueNoroff-Bedrohungsakteur zugeschrieben wird
Jamf, ein Unternehmen für die Verwaltung mobiler Geräte, hat eine neue Malware namens RustBucket identifiziert, die verwendet wird, um Apple-Geräte anzugreifen.
Es wird angenommen, dass die Malware mit der BlueNoroff Advanced Persistent Threat Group in Verbindung steht, einer Untergruppe von Lazarus, einer berüchtigten Bedrohungsgruppe. Die Malware ist als legitime PDF-Viewer-App namens Internal PDF Viewer getarnt und besteht aus zwei Phasen.
Die erste Stufe ist eine unsignierte App, die die zweite Stufe vom Command-and-Control-Server herunterlädt. Die zweite Stufe ist eine signierte Anwendung, die als legitime Apple-Bundle-ID getarnt ist.
Das zweistufige Design der RustBucket-Malware erschwert die Analyse, insbesondere wenn der Command-and-Control-Server offline geht. Derzeit erkennen nur wenige Sicherheitsanbieter beide Stadien von RustBucket. Für die Ausführung des Angriffs muss jedoch die richtige PDF-Datei geöffnet werden, wodurch die Kommunikation zwischen dem Angreifer und der Malware initiiert wird. Um nicht Opfer von RustBucket zu werden, sollten macOS-Benutzer Gatekeeper immer aktiv halten.
Wie wird Malware wie RustBucket verbreitet?
Die genaue Verteilungsmethode für RustBucket-Malware ist derzeit nicht klar. Es wird jedoch angenommen, dass die Malware wahrscheinlich durch Phishing-E-Mails oder durch Ausnutzen von Schwachstellen im Zielsystem verbreitet wird. Die Malware ist als legitime PDF-Viewer-App getarnt, die Benutzer glauben machen kann, dass sie sicher heruntergeladen und ausgeführt werden kann.
Nach der Installation kann RustBucket zusätzliche Malware-Komponenten von einem Command-and-Control-Server herunterladen, wodurch der Angreifer die Kontrolle über das infizierte System übernehmen kann. Es ist wichtig, dass Benutzer beim Öffnen von Anhängen oder Herunterladen von Software Vorsicht walten lassen und ihr Betriebssystem und ihre Sicherheitssoftware auf dem neuesten Stand halten, um das Infektionsrisiko zu verringern.
