Złośliwe oprogramowanie RustBucket dla komputerów Mac przypisane podmiotowi zagrażającemu BlueNoroff

Jamf, firma zarządzająca urządzeniami mobilnymi, zidentyfikowała nowe złośliwe oprogramowanie o nazwie RustBucket, które jest wykorzystywane do atakowania urządzeń Apple.

Uważa się, że złośliwe oprogramowanie jest powiązane z zaawansowaną grupą uporczywych zagrożeń BlueNoroff, podgrupą Lazarus, znanej grupy zagrożeń. Złośliwe oprogramowanie podszywa się pod legalną przeglądarkę plików PDF o nazwie Internal PDF Viewer i składa się z dwóch etapów.

Pierwszy etap to niepodpisana aplikacja, która pobiera drugi etap z serwera dowodzenia i kontroli. Drugim etapem jest podpisana aplikacja udająca legalny identyfikator pakietu Apple.

Dwuetapowy projekt złośliwego oprogramowania RustBucket utrudnia jego analizę, zwłaszcza jeśli serwer dowodzenia i kontroli przechodzi w tryb offline. Obecnie tylko kilku dostawców zabezpieczeń wykrywa oba etapy RustBucket. Jednak wykonanie ataku wymaga otwarcia odpowiedniego pliku PDF, który inicjuje komunikację między atakującym a złośliwym oprogramowaniem. Aby uniknąć padnięcia ofiarą RustBucket, użytkownicy systemu macOS powinni przez cały czas utrzymywać aktywność Gatekeepera.

W jaki sposób rozpowszechniane jest złośliwe oprogramowanie podobne do RustBucket?

Dokładna metoda dystrybucji złośliwego oprogramowania RustBucket nie jest obecnie znana. Uważa się jednak, że złośliwe oprogramowanie prawdopodobnie rozprzestrzenia się za pośrednictwem wiadomości phishingowych lub wykorzystując luki w systemie docelowym. Szkodliwe oprogramowanie jest zamaskowane jako legalna aplikacja do przeglądania plików PDF, która może oszukać użytkowników, myśląc, że pobranie i uruchomienie jest bezpieczne.

Po zainstalowaniu RustBucket ma możliwość pobierania dodatkowych komponentów złośliwego oprogramowania z serwera kontrolno-zarządzającego, co pozwala atakującemu przejąć kontrolę nad zainfekowanym systemem. Ważne jest, aby użytkownicy zachowywali ostrożność podczas otwierania załączników lub pobierania oprogramowania oraz aktualizowali swój system operacyjny i oprogramowanie zabezpieczające, aby zmniejszyć ryzyko infekcji.