La puerta trasera RustDoor apunta a sistemas macOS
Los investigadores han descubierto una nueva puerta trasera de macOS codificada en Rust, lo que sugiere conexiones con las familias de ransomware Black Basta y Alphv/BlackCat. El malware, denominado RustDoor, pretende ser Visual Studio, es compatible con las arquitecturas Intel y Arm y ha estado en circulación desde noviembre de 2023, evadiendo con éxito la detección durante aproximadamente tres meses. Se han identificado múltiples variantes de RustDoor, todas las cuales comparten la misma funcionalidad de puerta trasera con ligeras diferencias.
Estas muestras analizadas de RustDoor exhiben la capacidad de ejecutar varios comandos para la recolección y exfiltración de archivos, así como también para recopilar información sobre el sistema infectado. Luego, los datos recopilados se transmiten a un servidor de comando y control (C&C), generando una identificación de víctima para la comunicación posterior.
Rust se remonta a finales de 2023
La variante inicial, detectada en noviembre de 2023, parecía ser una versión de prueba que carecía de un mecanismo de persistencia completo y presentaba un archivo plist de "prueba". La segunda variante, observada a finales de noviembre, tenía archivos más grandes, una configuración JSON intrincada y un script de Apple diseñado para extraer documentos específicos de las carpetas Documentos y Escritorio, incluidas las notas de usuario. Esta variante ocultaba los documentos copiados en una carpeta oculta, comprimiéndolos en un archivo ZIP antes de enviarlos al servidor C&C.
Los investigadores descubrieron que el archivo de configuración de RustDoor incluye opciones para imitar varias aplicaciones, brindando opciones para personalizar un cuadro de diálogo de contraseña de administrador simulado. Algunas configuraciones especifican datos para recopilar, como el tamaño máximo y la cantidad de archivos, extensiones y directorios específicos o directorios para excluir.
La configuración JSON también hace referencia a cuatro mecanismos de persistencia: usar cronjobs, emplear LaunchAgents para la ejecución al iniciar sesión, modificar un archivo para su ejecución cuando se abre una nueva sesión ZSH y agregar el binario al Dock.
Además, se ha identificado una tercera variante, que los investigadores creen que es la original, observada por primera vez el 2 de noviembre. Esta variante es menos compleja y carece del script de Apple y de la configuración integrada que se encuentran en versiones posteriores.
