Az RShell Malware a MacOS felhasználókat célozza meg

Az RShell egy olyan rosszindulatú program neve, amelyet egy kínai fejlett, állandó fenyegetést okozó szereplőnek tulajdonítanak, akit számos álnévvel ismernek, leginkább az APT27-et és a LuckyMouse-t.

Az RShell-t a SEKOIA kutatócsoportja fedezte fel, és a MiMi nevű kínai nyelvű alkalmazáshoz kapcsolták, amelyet 2022 májusának vége óta "trójainak" használnak, és az RShell kártevő letöltésére és telepítésére használták.

A SEKOIA szerint ez az első alkalom, hogy a LuckyMouse-t MacOS rendszereket célozták meg. A 2022. május 26-i frissítéstől kezdődő MiMi alkalmazásverziók module.exports funkciójuk elején JavaScript-kód beillesztést tartalmaznak.

A JavaScript kóddarab segítségével ellenőrizhető, hogy a környezet MacOS-e, és ha igen, akkor a szkript letölti az RShellt egy olyan IP-címről, amely a LuckyMouse APT C2 infrastruktúrájához van társítva.

A végrehajtás után az RShell megkísérli felvenni a kapcsolatot a C2-szerverével, és elküldi a rendszermag-információkat, a gazdagépnevet, az IP-címet és a gazdarendszer felhasználónevét.

Az RShell kártevő számos parancsot elfogad, beleértve a fájlok és könyvtárak felsorolását, fájlok beolvasását, adatok fájlba írását, valamint fájlok törlését és bezárását.

A LuckyMouse és az RShell közötti kapcsolatok a mindkettő által használt IP-tartományok, valamint az a tény, hogy a LuckyMouse a múltban használt trójai és fegyveres üzenetküldő alkalmazásokat, hasonlóan a MiMi üzenetküldő alkalmazáshoz.