Il malware RShell prende di mira gli utenti MacOS

RShell è il nome di un malware attribuito a un attore cinese avanzato di minacce persistenti noto con diversi alias, in particolare APT27 e LuckyMouse.

RShell è stato scoperto da un team di ricerca con SEKOIA e collegato a un'app in lingua cinese chiamata MiMi, che è stata "trojanizzata" dalla fine di maggio 2022 ed è stata utilizzata per scaricare e distribuire il malware RShell.

Secondo SEKOIA, questa è la prima volta che LuckyMouse è stato individuato come bersaglio di sistemi MacOS. Le versioni dell'applicazione MiMi a partire dall'aggiornamento del 26 maggio 2022 hanno un codice JavaScript inserito all'inizio della loro funzione module.exports.

Il blocco di codice JavaScript viene utilizzato per verificare se l'ambiente è MacOS e, in tal caso, lo script scarica RShell da un indirizzo IP associato all'infrastruttura C2 di LuckyMouse APT.

Una volta eseguito, RShell tenta di contattare il suo server C2 e invia informazioni sul kernel, nome host, indirizzo IP e nome utente del sistema host.

Il malware RShell accetta una serie di comandi che includono l'enumerazione di file e directory, la lettura di file, la scrittura di dati nei file e l'eliminazione e la chiusura di file.

I collegamenti tra LuckyMouse e RShell sono gli intervalli IP utilizzati da entrambi, così come il fatto che LuckyMouse ha utilizzato in passato applicazioni di messaggistica trojanizzate e armate, simili all'app di messaggistica MiMi.