RustBucket Mac kártevő a BlueNoroff Threat Actor-nak tulajdonítva
A Jamf, a mobileszköz-kezelő cég egy új, RustBucket nevű rosszindulatú programot azonosított, amelyet az Apple eszközök megcélzására használnak.
A rosszindulatú program vélhetően a BlueNoroff fejlett, tartós fenyegetettségi csoporthoz, a Lazarus egyik alcsoportjához kapcsolódik, amely egy hírhedt fenyegetőcsoport. A kártevő Internal PDF Viewer nevű legitim PDF-megtekintő alkalmazásnak van álcázva, és két szakaszból áll.
Az első szakasz egy aláírás nélküli alkalmazás, amely letölti a második szakaszt a parancs- és vezérlőkiszolgálóról. A második szakasz egy aláírt alkalmazás, amely legitim Apple csomagazonosítónak van álcázva.
A RustBucket kártevő kétlépcsős kialakítása megnehezíti az elemzést, különösen akkor, ha a parancs- és vezérlőkiszolgáló offline állapotba kerül. Jelenleg csak néhány biztonsági szolgáltató észleli a RustBucket mindkét szakaszát. A támadás végrehajtásához azonban meg kell nyitni a megfelelő PDF fájlt, amely elindítja a kommunikációt a támadó és a kártevő között. Annak elkerülése érdekében, hogy a RustBucket áldozatává váljanak, a macOS-felhasználóknak mindig aktívan kell tartaniuk a Gatekeepert.
Hogyan oszlik meg a RustBuckethez hasonló rosszindulatú program?
A RustBucket rosszindulatú programok pontos terjesztési módja jelenleg nem világos. Úgy gondolják azonban, hogy a rosszindulatú program valószínűleg adathalász e-maileken keresztül vagy a megcélzott rendszer sebezhetőségeinek kihasználásával terjed. A rosszindulatú program legitim PDF-megtekintő alkalmazásnak van álcázva, amely megtévesztheti a felhasználókat, és azt gondolhatják, hogy biztonságos a letöltése és végrehajtása.
A telepítés után a RustBucket képes további kártevő-összetevőket letölteni egy parancs- és vezérlőkiszolgálóról, ami lehetővé teszi a támadó számára, hogy átvegye az irányítást a fertőzött rendszer felett. Fontos, hogy a felhasználók körültekintően járjanak el a mellékletek megnyitásakor vagy szoftverek letöltésekor, valamint hogy operációs rendszerüket és biztonsági szoftvereiket naprakészen tartsák a fertőzés kockázatának csökkentése érdekében.