„RustBucket Mac“ kenkėjiška programa, priskirta „BlueNoroff“ grėsmių veikėjui

Mobiliųjų įrenginių valdymo įmonė „Jamf“ nustatė naują kenkėjišką programą „RustBucket“, kuri naudojama „Apple“ įrenginiams.

Manoma, kad kenkėjiška programa yra susijusi su „BlueNoroff“ pažangia nuolatinių grėsmių grupe, Lazarus, liūdnai pagarsėjusia grėsmių grupe, pogrupiu. Kenkėjiška programa yra užmaskuota kaip teisėta PDF peržiūros programa, pavadinta „Internal PDF Viewer“, ir ji susideda iš dviejų etapų.

Pirmasis etapas yra nepasirašyta programa, kuri atsisiunčia antrąjį etapą iš komandų ir valdymo serverio. Antrasis etapas yra pasirašyta programa, užmaskuota kaip teisėtas „Apple“ paketo identifikatorius.

Dviejų etapų „RustBucket“ kenkėjiškos programos dizainas apsunkina analizę, ypač jei komandų ir valdymo serveris yra neprisijungęs. Šiuo metu tik keli saugumo pardavėjai aptinka abu „RustBucket“ etapus. Tačiau norint įvykdyti ataką, reikia atidaryti teisingą PDF failą, kuris inicijuoja ryšį tarp užpuoliko ir kenkėjiškos programos. Kad netaptų „RustBucket“ auka, „macOS“ naudotojai turėtų nuolat palaikyti „Gatekeeper“ aktyvų.

Kaip platinama kenkėjiška programa, panaši į RustBucket?

Tikslus „RustBucket“ kenkėjiškų programų platinimo metodas šiuo metu nėra aiškus. Tačiau manoma, kad kenkėjiška programa greičiausiai plinta per sukčiavimo el. laiškus arba išnaudojant tikslinės sistemos spragas. Kenkėjiška programa yra užmaskuota kaip teisėta PDF peržiūros programa, kuri gali suklaidinti vartotojus ir manyti, kad ją saugu atsisiųsti ir vykdyti.

Įdiegęs RustBucket turi galimybę atsisiųsti papildomų kenkėjiškų programų komponentų iš komandų ir valdymo serverio, o tai leidžia užpuolikui perimti užkrėstos sistemos kontrolę. Svarbu, kad vartotojai būtų atsargūs atidarydami priedus arba atsisiųsdami programinę įrangą ir nuolat atnaujinkite savo operacinę sistemą bei saugos programinę įrangą, kad sumažintumėte užsikrėtimo riziką.