Вредоносное ПО RustBucket для Mac, приписываемое BlueNoroff Threat Actor
Jamf, компания по управлению мобильными устройствами, обнаружила новое вредоносное ПО под названием RustBucket, которое используется для атак на устройства Apple.
Считается, что вредоносное ПО связано с группой продвинутых постоянных угроз BlueNoroff, подгруппой печально известной группы угроз Lazarus. Вредоносная программа маскируется под законное приложение для просмотра PDF-файлов под названием Internal PDF Viewer и состоит из двух этапов.
Первый этап — это неподписанное приложение, которое загружает второй этап с сервера управления и контроля. Второй этап — подписанное приложение, замаскированное под легитимный идентификатор пакета Apple.
Двухэтапный дизайн вредоносного ПО RustBucket затрудняет его анализ, особенно если сервер управления отключается. В настоящее время только несколько поставщиков систем безопасности обнаруживают обе стадии RustBucket. Однако для выполнения атаки необходимо открыть правильный PDF-файл, который инициирует связь между злоумышленником и вредоносным ПО. Чтобы не стать жертвой RustBucket, пользователям macOS следует постоянно держать Gatekeeper активным.
Как распространяется вредоносное ПО, подобное RustBucket?
Точный метод распространения вредоносного ПО RustBucket в настоящее время не ясен. Однако считается, что вредоносное ПО, вероятно, распространяется через фишинговые электронные письма или путем использования уязвимостей в целевой системе. Вредоносная программа маскируется под законное приложение для просмотра PDF-файлов, которое может обмануть пользователей, заставив их думать, что загружать и запускать их безопасно.
После установки RustBucket имеет возможность загружать дополнительные вредоносные компоненты с сервера управления, что позволяет злоумышленнику получить контроль над зараженной системой. Пользователям важно проявлять осторожность при открытии вложений или загрузке программного обеспечения, а также поддерживать свою операционную систему и программное обеспечение безопасности в актуальном состоянии, чтобы снизить риск заражения.