RustBucket Mac Malware attribuito all'attore della minaccia BlueNoroff
Jamf, una società di gestione di dispositivi mobili, ha identificato un nuovo malware chiamato RustBucket che viene utilizzato per prendere di mira i dispositivi Apple.
Si ritiene che il malware sia associato al gruppo di minacce persistenti avanzate BlueNoroff, un sottogruppo di Lazarus, un noto gruppo di minacce. Il malware è mascherato da un'app di visualizzazione PDF legittima denominata Internal PDF Viewer e si compone di due fasi.
La prima fase è un'app non firmata che scarica la seconda fase dal server di comando e controllo. La seconda fase è un'applicazione firmata mascherata da identificatore di bundle Apple legittimo.
Il design a due fasi del malware RustBucket ne rende difficile l'analisi, soprattutto se il server di comando e controllo va offline. Attualmente, solo pochi fornitori di sicurezza rilevano entrambe le fasi di RustBucket. Tuttavia, l'esecuzione dell'attacco richiede l'apertura del file PDF corretto, che avvia la comunicazione tra l'aggressore e il malware. Per evitare di cadere vittima di RustBucket, gli utenti macOS dovrebbero mantenere Gatekeeper sempre attivo.
Come viene distribuito il malware come RustBucket?
L'esatto metodo di distribuzione del malware RustBucket non è chiaro al momento. Tuttavia, si ritiene che il malware si diffonda probabilmente tramite e-mail di phishing o sfruttando le vulnerabilità nel sistema preso di mira. Il malware è mascherato da un'app di visualizzazione PDF legittima, che può indurre gli utenti a pensare che sia sicuro da scaricare ed eseguire.
Una volta installato, RustBucket ha la capacità di scaricare componenti malware aggiuntivi da un server di comando e controllo, che consente all'attaccante di assumere il controllo del sistema infetto. È importante che gli utenti prestino attenzione quando aprono allegati o scaricano software e mantengono aggiornati il sistema operativo e il software di sicurezza per ridurre il rischio di infezione.