RustDoor Backdoor tem como alvo sistemas macOS
Pesquisadores descobriram um novo backdoor para macOS codificado em Rust, sugerindo conexões com as famílias de ransomware Black Basta e Alphv/BlackCat. Chamado de RustDoor, o malware finge ser Visual Studio, suportando as arquiteturas Intel e Arm, e está em circulação desde novembro de 2023, evitando a detecção com sucesso por aproximadamente três meses. Várias variantes do RustDoor foram identificadas, todas compartilhando a mesma funcionalidade de backdoor com pequenas diferenças.
Essas amostras analisadas do RustDoor exibem a capacidade de executar vários comandos para coleta e exfiltração de arquivos, bem como coletar informações sobre o sistema infectado. Os dados coletados são então transmitidos para um servidor de comando e controle (C&C), gerando um ID da vítima para comunicação posterior.
A ferrugem remonta ao final de 2023
A variante inicial, detectada em novembro de 2023, parecia ser uma versão de teste sem um mecanismo de persistência completo e apresentando um arquivo plist de ‘teste’. A segunda variante, observada no final de novembro, tinha arquivos maiores, uma configuração JSON complexa e um script Apple projetado para extrair documentos específicos das pastas Documentos e Desktop, incluindo notas do usuário. Esta variante ocultava os documentos copiados em uma pasta oculta, compactando-os em um arquivo ZIP antes de enviá-los ao servidor C&C.
Os pesquisadores descobriram que o arquivo de configuração do RustDoor inclui opções para imitar vários aplicativos, oferecendo opções para personalizar uma caixa de diálogo simulada de senha de administrador. Algumas configurações especificam dados a serem coletados, como tamanho máximo e número de arquivos, extensões e diretórios direcionados ou diretórios a serem excluídos.
A configuração JSON também faz referência a quatro mecanismos de persistência: usar cronjobs, empregar LaunchAgents para execução no login, modificar um arquivo para execução quando uma nova sessão ZSH for aberta e adicionar o binário ao dock.
Além disso, foi identificada uma terceira variante, que os pesquisadores acreditam ser a original, observada pela primeira vez em 2 de novembro. Esta variante é menos complexa, sem o script Apple e a configuração incorporada encontrada em versões posteriores.
