La porte dérobée RustDoor cible les systèmes macOS
Les chercheurs ont découvert une nouvelle porte dérobée macOS codée dans Rust, suggérant des liens avec les familles de ransomwares Black Basta et Alphv/BlackCat. Nommé RustDoor, le malware se fait passer pour Visual Studio, prenant en charge les architectures Intel et Arm, et est en circulation depuis novembre 2023, échappant avec succès à la détection pendant environ trois mois. Plusieurs variantes de RustDoor ont été identifiées, partageant toutes la même fonctionnalité de porte dérobée avec de légères différences.
Ces échantillons analysés de RustDoor présentent la capacité d'exécuter diverses commandes pour la collecte et l'exfiltration de fichiers, ainsi que de collecter des informations sur le système infecté. Les données collectées sont ensuite transmises à un serveur de commande et de contrôle (C&C), générant un identifiant de victime pour une communication ultérieure.
La rouille remonte à fin 2023
La variante initiale, détectée en novembre 2023, semblait être une version de test dépourvue d'un mécanisme de persistance complet et comportant un fichier plist « test ». La deuxième variante, observée fin novembre, comportait des fichiers plus volumineux, une configuration JSON complexe et un script Apple conçu pour extraire des documents spécifiques des dossiers Documents et Bureau, y compris les notes des utilisateurs. Cette variante dissimulait les documents copiés dans un dossier caché, les compressant dans une archive ZIP avant de les envoyer au serveur C&C.
Les chercheurs ont découvert que le fichier de configuration de RustDoor inclut des options permettant d'imiter diverses applications, offrant ainsi des choix pour personnaliser une boîte de dialogue de mot de passe administrateur simulé. Certaines configurations spécifient les données à collecter, telles que la taille maximale et le nombre de fichiers, les extensions et répertoires ciblés ou les répertoires à exclure.
La configuration JSON fait également référence à quatre mécanismes de persistance : utiliser des tâches cron, utiliser des LaunchAgents pour l'exécution lors de la connexion, modifier un fichier pour l'exécuter lorsqu'une nouvelle session ZSH est ouverte et ajouter le binaire au dock.
De plus, une troisième variante a été identifiée, que les chercheurs pensent être la variante originale, observée pour la première fois le 2 novembre. Cette variante est moins complexe, dépourvue du script Apple et de la configuration intégrée trouvée dans les versions ultérieures.