Malware RShell tem como alvo usuários do MacOS
RShell é o nome de um malware que é atribuído a um agente de ameaças persistentes avançado chinês conhecido por vários aliases, principalmente APT27 e LuckyMouse.
O RShell foi descoberto por uma equipe de pesquisa da SEKOIA e vinculado a um aplicativo em chinês chamado MiMi, que foi "trojanizado" desde o final de maio de 2022 e foi usado para baixar e implantar o malware RShell.
De acordo com a SEKOIA, esta é a primeira vez que o LuckyMouse foi visto visando sistemas MacOS. As versões do aplicativo MiMi a partir da atualização de 26 de maio de 2022 têm uma inserção de código JavaScript no início de sua função module.exports.
O trecho de código JavaScript é usado para verificar se o ambiente é MacOS e, se for, o script baixa o RShell de um endereço IP associado à infraestrutura C2 do LuckyMouse APT.
Uma vez executado, o RShell tenta entrar em contato com seu servidor C2 e envia informações do kernel, nome do host, endereço IP e nome de usuário do sistema host.
O malware RShell aceita vários comandos que incluem enumeração de arquivos e diretórios, leitura de arquivos, gravação de dados em arquivos e exclusão e fechamento de arquivos.
Os links entre LuckyMouse e RShell são os intervalos de IP usados por ambos, bem como o fato de LuckyMouse ter usado aplicativos de mensagens trojanizados e armados no passado, semelhantes ao aplicativo de mensagens MiMi.
