RustBucket Mac Malware που αποδίδεται στον BlueNoroff Threat Actor
Η Jamf, μια εταιρεία διαχείρισης κινητών συσκευών, εντόπισε ένα νέο κακόβουλο λογισμικό που ονομάζεται RustBucket που χρησιμοποιείται για τη στόχευση συσκευών Apple.
Το κακόβουλο λογισμικό πιστεύεται ότι σχετίζεται με την προηγμένη ομάδα επίμονων απειλών BlueNoroff, μια υποομάδα του Lazarus, μια διαβόητη ομάδα απειλών. Το κακόβουλο λογισμικό είναι μεταμφιεσμένο ως μια νόμιμη εφαρμογή προβολής PDF που ονομάζεται Internal PDF Viewer και αποτελείται από δύο στάδια.
Το πρώτο στάδιο είναι μια ανυπόγραφη εφαρμογή που κατεβάζει το δεύτερο στάδιο από τον διακομιστή εντολών και ελέγχου. Το δεύτερο στάδιο είναι μια υπογεγραμμένη εφαρμογή που είναι μεταμφιεσμένη ως νόμιμο αναγνωριστικό πακέτου Apple.
Ο σχεδιασμός δύο σταδίων του κακόβουλου λογισμικού RustBucket καθιστά δύσκολη την ανάλυση, ειδικά εάν ο διακομιστής εντολών και ελέγχου είναι εκτός σύνδεσης. Επί του παρόντος, μόνο λίγοι προμηθευτές ασφαλείας εντοπίζουν και τα δύο στάδια του RustBucket. Ωστόσο, η εκτέλεση της επίθεσης απαιτεί το άνοιγμα του σωστού αρχείου PDF, το οποίο ξεκινά την επικοινωνία μεταξύ του εισβολέα και του κακόβουλου λογισμικού. Για να μην πέσουν θύματα του RustBucket, οι χρήστες macOS θα πρέπει να κρατούν το Gatekeeper ενεργό ανά πάσα στιγμή.
Πώς διανέμεται κακόβουλο λογισμικό όπως το RustBucket;
Η ακριβής μέθοδος διανομής για κακόβουλο λογισμικό RustBucket δεν είναι σαφής αυτή τη στιγμή. Ωστόσο, πιστεύεται ότι το κακόβουλο λογισμικό είναι πιθανό να εξαπλωθεί μέσω ηλεκτρονικού ταχυδρομείου ηλεκτρονικού "ψαρέματος" ή μέσω της εκμετάλλευσης τρωτών σημείων στο στοχευμένο σύστημα. Το κακόβουλο λογισμικό είναι μεταμφιεσμένο ως μια νόμιμη εφαρμογή προβολής PDF, η οποία μπορεί να παραπλανήσει τους χρήστες να πιστέψουν ότι είναι ασφαλής η λήψη και η εκτέλεση.
Μόλις εγκατασταθεί, το RustBucket έχει τη δυνατότητα λήψης πρόσθετων στοιχείων κακόβουλου λογισμικού από έναν διακομιστή εντολών και ελέγχου, ο οποίος επιτρέπει στον εισβολέα να αναλάβει τον έλεγχο του μολυσμένου συστήματος. Είναι σημαντικό για τους χρήστες να είναι προσεκτικοί κατά το άνοιγμα συνημμένων ή τη λήψη λογισμικού και να διατηρούν ενημερωμένο το λειτουργικό τους σύστημα και το λογισμικό ασφαλείας για να μειώσουν τον κίνδυνο μόλυνσης.
