RustBucket Mac-malware toegeschreven aan BlueNoroff Threat Actor
Jamf, een bedrijf voor het beheer van mobiele apparaten, heeft een nieuwe malware genaamd RustBucket geïdentificeerd die wordt gebruikt om Apple-apparaten aan te vallen.
Aangenomen wordt dat de malware wordt geassocieerd met de BlueNoroff Advanced Persistent Threat Group, een subgroep van Lazarus, een beruchte bedreigingsgroep. De malware is vermomd als een legitieme PDF-viewer-app met de naam Internal PDF Viewer en bestaat uit twee fasen.
De eerste fase is een niet-ondertekende app die de tweede fase downloadt van de command and control-server. De tweede fase is een ondertekende applicatie die is vermomd als een legitieme Apple-bundel-ID.
Het tweetrapsontwerp van RustBucket-malware maakt het moeilijk te analyseren, vooral als de command and control-server offline gaat. Momenteel detecteren slechts enkele beveiligingsleveranciers beide stadia van RustBucket. Voor het uitvoeren van de aanval moet echter het juiste pdf-bestand worden geopend, waardoor de communicatie tussen de aanvaller en de malware op gang komt. Om te voorkomen dat ze het slachtoffer worden van RustBucket, moeten macOS-gebruikers Gatekeeper altijd actief houden.
Hoe wordt malware zoals RustBucket verspreid?
De exacte distributiemethode voor RustBucket-malware is op dit moment niet duidelijk. Er wordt echter aangenomen dat de malware waarschijnlijk wordt verspreid via phishing-e-mails of door misbruik te maken van kwetsbaarheden in het beoogde systeem. De malware is vermomd als een legitieme PDF-viewer-app, die gebruikers kan misleiden door te denken dat het veilig is om te downloaden en uit te voeren.
Eenmaal geïnstalleerd, heeft RustBucket de mogelijkheid om aanvullende malwarecomponenten te downloaden van een commando- en controleserver, waardoor de aanvaller de controle over het geïnfecteerde systeem kan overnemen. Het is belangrijk voor gebruikers om voorzichtig te zijn bij het openen van bijlagen of het downloaden van software, en om hun besturingssysteem en beveiligingssoftware up-to-date te houden om het risico op infectie te verkleinen.