RShell-Malware zielt auf MacOS-Benutzer ab

RShell ist der Name einer Malware, die einem chinesischen Advanced Persistent Threat Actor zugeschrieben wird, der unter mehreren Aliasnamen bekannt ist, insbesondere APT27 und LuckyMouse.

RShell wurde von einem Forschungsteam von SEKOIA entdeckt und mit einer chinesischsprachigen App namens MiMi verknüpft, die seit Ende Mai 2022 „trojanisiert“ ist und zum Herunterladen und Bereitstellen der RShell-Malware verwendet wurde.

Laut SEKOIA ist dies das erste Mal, dass LuckyMouse beim Angriff auf MacOS-Systeme entdeckt wurde. Die MiMi-Anwendungsversionen ab dem Update vom 26. Mai 2022 haben eine JavaScript-Code-Einfügung am Anfang ihrer module.exports-Funktion.

Der JavaScript-Codeabschnitt wird verwendet, um zu prüfen, ob es sich bei der Umgebung um MacOS handelt, und wenn dies der Fall ist, lädt das Skript RShell von einer IP-Adresse herunter, die der C2-Infrastruktur des LuckyMouse APT zugeordnet ist.

Nach der Ausführung versucht RShell, seinen C2-Server zu kontaktieren und sendet Kernel-Informationen, Hostname, IP-Adresse und Benutzername des Hostsystems.

Die RShell-Malware akzeptiert eine Reihe von Befehlen, darunter das Auflisten von Dateien und Verzeichnissen, das Lesen von Dateien, das Schreiben von Daten in Dateien sowie das Löschen und Schließen von Dateien.

Die Verbindungen zwischen LuckyMouse und RShell sind die von beiden verwendeten IP-Bereiche sowie die Tatsache, dass LuckyMouse in der Vergangenheit trojanisierte und bewaffnete Messaging-Anwendungen verwendet hat, ähnlich wie die Messaging-App MiMi.