RustBucket Mac Malware atribuído ao agente de ameaças BlueNoroff
Jamf, uma empresa de gerenciamento de dispositivos móveis, identificou um novo malware chamado RustBucket que está sendo usado para atingir dispositivos Apple.
Acredita-se que o malware esteja associado ao grupo avançado de ameaças persistentes BlueNoroff, um subgrupo do Lazarus, um notório grupo de ameaças. O malware está disfarçado como um aplicativo visualizador de PDF legítimo chamado Internal PDF Viewer e consiste em dois estágios.
O primeiro estágio é um aplicativo não assinado que baixa o segundo estágio do servidor de comando e controle. O segundo estágio é um aplicativo assinado disfarçado como um identificador de pacote Apple legítimo.
O design de dois estágios do malware RustBucket dificulta a análise, especialmente se o servidor de comando e controle ficar offline. Atualmente, apenas alguns fornecedores de segurança detectam os dois estágios do RustBucket. No entanto, a execução do ataque requer a abertura do arquivo PDF correto, que inicia a comunicação entre o invasor e o malware. Para evitar ser vítima do RustBucket, os usuários do macOS devem manter o Gatekeeper ativo o tempo todo.
Como o malware Like RustBucket é distribuído?
O método exato de distribuição do malware RustBucket não está claro no momento. No entanto, acredita-se que o malware provavelmente se espalhe por e-mails de phishing ou explorando vulnerabilidades no sistema de destino. O malware está disfarçado como um aplicativo visualizador de PDF legítimo, que pode enganar os usuários fazendo-os pensar que é seguro fazer o download e executá-lo.
Depois de instalado, o RustBucket tem a capacidade de baixar componentes adicionais de malware de um servidor de comando e controle, o que permite ao invasor assumir o controle do sistema infectado. É importante que os usuários tenham cuidado ao abrir anexos ou fazer download de software e manter seu sistema operacional e software de segurança atualizados para reduzir o risco de infecção.