A RustDoor Backdoor a macOS rendszereket célozza meg

A kutatók egy új, Rust-ba kódolt macOS-hátsóajtót fedeztek fel, amely a Black Basta és az Alphv/BlackCat zsarolóvírus-családdal való kapcsolatokra utal. A RustDoor névre keresztelt kártevő Visual Studio-nak adja ki magát, támogatja az Intel és Arm architektúrákat is, és 2023 novembere óta van forgalomban, mintegy három hónapig sikeresen elkerülve az észlelést. A RustDoor több változatát azonosították, amelyek mindegyike ugyanazt a hátsó ajtó funkciót osztja meg, kis eltérésekkel.

Ezek a RustDoor elemzett mintái képesek különféle parancsok végrehajtására a fájlok begyűjtésére és kiszűrésére, valamint információk gyűjtésére a fertőzött rendszerről. Az összegyűjtött adatokat ezután továbbítják egy parancs- és vezérlő (C&C) szerverre, amely áldozatazonosítót generál a későbbi kommunikációhoz.

A rozsda 2023 végére nyúlik vissza

A kezdeti változat, amelyet 2023 novemberében észleltek, egy tesztverziónak tűnt, amelyből hiányzik a teljes perzisztencia mechanizmus, és egy „teszt” plist fájlt tartalmaz. A november végén megfigyelt második változat nagyobb fájlokat, bonyolult JSON-konfigurációt és egy Apple-szkriptet tartalmazott, amelyet arra terveztek, hogy bizonyos dokumentumokat kinyerjen a Dokumentumok és Asztal mappáiból, beleértve a felhasználói megjegyzéseket. Ez a változat a másolt dokumentumokat egy rejtett mappában rejtette el, és ZIP-archívumba tömörítette, mielőtt elküldte volna őket a C&C szerverre.

A kutatók azt találták, hogy a RustDoor konfigurációs fájl különböző alkalmazások utánzására szolgáló lehetőségeket tartalmaz, amelyek lehetővé teszik a szimulált rendszergazdai jelszó párbeszédablak testreszabását. Egyes konfigurációk megadják a gyűjtendő adatokat, például a fájlok maximális méretét és számát, a célzott kiterjesztéseket és könyvtárakat vagy a kizárandó könyvtárakat.

A JSON-konfiguráció négy perzisztencia-mechanizmusra is hivatkozik: cronjobs használata, LaunchAgents alkalmazása a bejelentkezéskor történő végrehajtáshoz, egy fájl módosítása a végrehajtáshoz egy új ZSH-munkamenet megnyitásakor, és a bináris hozzáadása a dokkolóhoz.

Ezenkívül azonosítottak egy harmadik változatot is, amelyről a kutatók úgy vélik, hogy ez az eredeti, amelyet először november 2-án figyeltek meg. Ez a változat kevésbé összetett, hiányzik belőle a későbbi verziókban található Apple szkript és beágyazott konfiguráció.