La backdoor RustDoor prende di mira i sistemi macOS
I ricercatori hanno scoperto una nuova backdoor macOS codificata in Rust, suggerendo collegamenti con le famiglie di ransomware Black Basta e Alphv/BlackCat. Denominato RustDoor, il malware finge di essere Visual Studio, supporta entrambe le architetture Intel e Arm, ed è in circolazione da novembre 2023, eludendo con successo il rilevamento per circa tre mesi. Sono state identificate più varianti di RustDoor, tutte condividono la stessa funzionalità backdoor con lievi differenze.
Questi campioni analizzati di RustDoor mostrano la capacità di eseguire vari comandi per la raccolta e l'esfiltrazione di file, oltre a raccogliere informazioni sul sistema infetto. I dati raccolti vengono quindi trasmessi a un server di comando e controllo (C&C), generando un ID vittima per la successiva comunicazione.
La ruggine risale alla fine del 2023
La variante iniziale, rilevata nel novembre 2023, sembrava essere una versione di prova priva di un meccanismo di persistenza completo e dotata di un file plist "di prova". La seconda variante, osservata alla fine di novembre, aveva file più grandi, una complessa configurazione JSON e uno script Apple progettato per estrarre documenti specifici dalle cartelle Documenti e Desktop, comprese le note dell'utente. Questa variante nascondeva i documenti copiati in una cartella nascosta, comprimendoli in un archivio ZIP prima di inviarli al server C&C.
I ricercatori hanno scoperto che il file di configurazione di RustDoor include opzioni per imitare varie applicazioni, fornendo scelte per personalizzare una finestra di dialogo con la password dell'amministratore simulata. Alcune configurazioni specificano i dati da raccogliere, come la dimensione massima e il numero di file, le estensioni e le directory di destinazione o le directory da escludere.
La configurazione JSON fa inoltre riferimento a quattro meccanismi di persistenza: utilizzo di cronjob, utilizzo di LaunchAgent per l'esecuzione all'accesso, modifica di un file per l'esecuzione quando viene aperta una nuova sessione ZSH e aggiunta del binario al dock.
Inoltre, è stata identificata una terza variante, che i ricercatori ritengono essere quella originale, osservata per la prima volta il 2 novembre. Questa variante è meno complessa, priva dello script Apple e della configurazione incorporata presenti nelle versioni successive.