RustDoor Backdoor retter seg mot macOS-systemer
Forskere har oppdaget en ny macOS-bakdør kodet i Rust, noe som tyder på forbindelser til løsepengevarefamiliene Black Basta og Alphv/BlackCat. Ved navn RustDoor, utgir skadelig programvare seg for å være Visual Studio, som støtter både Intel- og Arm-arkitekturer, og har vært i sirkulasjon siden november 2023, og har unnviket oppdagelse i omtrent tre måneder. Flere varianter av RustDoor er identifisert, som alle deler den samme bakdørsfunksjonaliteten med små forskjeller.
Disse analyserte prøvene av RustDoor viser muligheten til å utføre forskjellige kommandoer for filinnsamling og eksfiltrering, samt å samle informasjon om det infiserte systemet. De innsamlede dataene blir deretter overført til en kommando-og-kontroll-server (C&C) og genererer en offer-ID for påfølgende kommunikasjon.
Rust går tilbake til slutten av 2023
Den første varianten, oppdaget i november 2023, så ut til å være en testversjon som mangler en fullstendig utholdenhetsmekanisme og inneholder en "test" plist-fil. Den andre varianten, observert i slutten av november, hadde større filer, en intrikat JSON-konfigurasjon og et Apple-skript designet for å trekke ut spesifikke dokumenter fra mappene Dokumenter og skrivebord, inkludert brukernotater. Denne varianten skjulte de kopierte dokumentene i en skjult mappe, og komprimerte dem til et ZIP-arkiv før de ble sendt til C&C-serveren.
Forskere fant at RustDoor-konfigurasjonsfilen inkluderer alternativer for å etterligne ulike applikasjoner, og gir valg for å tilpasse en simulert administratorpassorddialog. Noen konfigurasjoner spesifiserer data som skal samles inn, for eksempel maksimal størrelse og antall filer, målrettede utvidelser og kataloger, eller kataloger som skal ekskluderes.
JSON-konfigurasjonen refererer også til fire persistensmekanismer: bruk av cronjobs, bruk av LaunchAgents for kjøring ved pålogging, modifisering av en fil for kjøring når en ny ZSH-sesjon åpnes, og tilføying av binærfilen til dokken.
I tillegg har en tredje variant blitt identifisert, som forskere mener er den originale, først observert 2. november. Denne varianten er mindre kompleks, og mangler Apple-skriptet og innebygd konfigurasjon som finnes i senere versjoner.