Το RustDoor Backdoor στοχεύει συστήματα macOS

Οι ερευνητές ανακάλυψαν μια νέα κερκόπορτα macOS κωδικοποιημένη σε Rust, προτείνοντας συνδέσεις με τις οικογένειες ransomware Black Basta και Alphv/BlackCat. Με το όνομα RustDoor, το κακόβουλο λογισμικό προσποιείται ότι είναι το Visual Studio, υποστηρίζοντας τόσο τις αρχιτεκτονικές Intel όσο και Arm, και κυκλοφορεί από τον Νοέμβριο του 2023, αποφεύγοντας με επιτυχία τον εντοπισμό για περίπου τρεις μήνες. Έχουν εντοπιστεί πολλές παραλλαγές του RustDoor, όλες μοιράζονται την ίδια λειτουργία backdoor με μικρές διαφορές.

Αυτά τα αναλυμένα δείγματα του RustDoor παρουσιάζουν την ικανότητα εκτέλεσης διαφόρων εντολών για τη συλλογή και την εκχύλιση αρχείων, καθώς και τη συλλογή πληροφοριών σχετικά με το μολυσμένο σύστημα. Τα συγκεντρωμένα δεδομένα μεταδίδονται στη συνέχεια σε διακομιστή εντολών και ελέγχου (C&C), δημιουργώντας ένα αναγνωριστικό θύματος για επακόλουθη επικοινωνία.

Η σκουριά χρονολογείται από τα τέλη του 2023

Η αρχική παραλλαγή, που εντοπίστηκε τον Νοέμβριο του 2023, φαινόταν ότι ήταν μια δοκιμαστική έκδοση που δεν είχε πλήρη μηχανισμό επιμονής και διέθετε ένα αρχείο plist «δοκιμής». Η δεύτερη παραλλαγή, που παρατηρήθηκε στα τέλη Νοεμβρίου, είχε μεγαλύτερα αρχεία, μια περίπλοκη διαμόρφωση JSON και ένα σενάριο Apple σχεδιασμένο για την εξαγωγή συγκεκριμένων εγγράφων από τους φακέλους Documents και Desktop, συμπεριλαμβανομένων των σημειώσεων χρήστη. Αυτή η παραλλαγή έκρυβε τα αντιγραμμένα έγγραφα σε έναν κρυφό φάκελο, συμπιέζοντάς τα σε ένα αρχείο ZIP πριν τα στείλει στον διακομιστή C&C.

Οι ερευνητές διαπίστωσαν ότι το αρχείο διαμόρφωσης RustDoor περιλαμβάνει επιλογές για μίμηση διαφόρων εφαρμογών, παρέχοντας επιλογές για την προσαρμογή ενός προσομοιωμένου διαλόγου κωδικού πρόσβασης διαχειριστή. Ορισμένες διαμορφώσεις καθορίζουν δεδομένα προς συλλογή, όπως μέγιστο μέγεθος και αριθμό αρχείων, στοχευμένες επεκτάσεις και καταλόγους ή καταλόγους προς εξαίρεση.

Η διαμόρφωση JSON αναφέρεται επίσης σε τέσσερις μηχανισμούς επιμονής: χρήση cronjobs, χρήση LaunchAgents για εκτέλεση κατά τη σύνδεση, τροποποίηση αρχείου για εκτέλεση όταν ανοίγει μια νέα συνεδρία ZSH και προσθήκη του δυαδικού στο dock.

Επιπλέον, έχει εντοπιστεί μια τρίτη παραλλαγή, η οποία πιστεύουν οι ερευνητές ότι είναι η αρχική, που παρατηρήθηκε για πρώτη φορά στις 2 Νοεμβρίου. Αυτή η παραλλαγή είναι λιγότερο περίπλοκη, χωρίς το σενάριο της Apple και την ενσωματωμένη διαμόρφωση που βρέθηκαν σε μεταγενέστερες εκδόσεις.