RustBucket Mac Malware tilskrevet BlueNoroff Threat Actor

Jamf, et administrasjonsselskap for mobilenheter, har identifisert en ny skadelig programvare kalt RustBucket som brukes til å målrette Apple-enheter.

Skadevaren antas å være assosiert med BlueNoroffs avanserte vedvarende trusselgruppe, en undergruppe av Lazarus, en beryktet trusselgruppe. Skadevaren er forkledd som en legitim PDF-visningsapp kalt Internal PDF Viewer, og den består av to trinn.

Det første trinnet er en usignert app som laster ned det andre trinnet fra kommando- og kontrollserveren. Den andre fasen er en signert applikasjon som er forkledd som en legitim Apple-pakkeidentifikator.

To-trinns design av RustBucket malware gjør det vanskelig å analysere, spesielt hvis kommando- og kontrollserveren går offline. For øyeblikket er det bare noen få sikkerhetsleverandører som oppdager begge stadier av RustBucket. Utførelsen av angrepet krever imidlertid at riktig PDF-fil åpnes, noe som starter kommunikasjonen mellom angriperen og skadelig programvare. For å unngå å bli offer for RustBucket, bør macOS-brukere holde Gatekeeper aktiv til enhver tid.

Hvordan distribueres skadelig programvare som RustBucket?

Den nøyaktige distribusjonsmetoden for RustBucket malware er ikke klar for øyeblikket. Imidlertid antas det at skadelig programvare sannsynligvis spres gjennom phishing-e-post eller ved å utnytte sårbarheter i det målrettede systemet. Skadevaren er forkledd som en legitim PDF-visningsapp, som kan lure brukere til å tro at det er trygt å laste ned og kjøre.

Når den er installert, har RustBucket muligheten til å laste ned ytterligere skadevarekomponenter fra en kommando- og kontrollserver, som lar angriperen ta kontroll over det infiserte systemet. Det er viktig for brukere å utvise forsiktighet når de åpner vedlegg eller laster ned programvare, og å holde operativsystemet og sikkerhetsprogramvaren oppdatert for å redusere risikoen for infeksjon.