RustBucket Mac Malware tillskrivs BlueNoroff Threat Actor

Jamf, ett företag för hantering av mobila enheter, har identifierat en ny skadlig programvara som heter RustBucket som används för att rikta in sig på Apple-enheter.

Skadlig programvara tros vara associerad med BlueNoroffs avancerade bestående hotgrupp, en undergrupp till Lazarus, en ökända hotgrupp. Skadlig programvara är förklädd som en legitim PDF-visningsapp som heter Internal PDF Viewer, och den består av två steg.

Det första steget är en osignerad app som laddar ner det andra steget från kommando- och kontrollservern. Det andra steget är en signerad applikation som är förklädd som en legitim Apple-paketidentifierare.

Tvåstegsdesignen av RustBucket malware gör det svårt att analysera, särskilt om kommando- och kontrollservern går offline. För närvarande är det bara ett fåtal säkerhetsleverantörer som upptäcker båda stegen av RustBucket. Utförandet av attacken kräver dock att rätt PDF-fil öppnas, vilket initierar kommunikationen mellan angriparen och skadlig programvara. För att undvika att falla offer för RustBucket bör macOS-användare hålla Gatekeeper aktiv hela tiden.

Hur distribueras skadlig programvara som RustBucket?

Den exakta distributionsmetoden för skadlig programvara RustBucket är inte klar i nuläget. Man tror dock att den skadliga programvaran sannolikt sprids genom nätfiske-e-postmeddelanden eller genom att utnyttja sårbarheter i det riktade systemet. Skadlig programvara är förklädd som en legitim PDF-visningsapp, som kan lura användare att tro att den är säker att ladda ner och köra.

När det väl har installerats har RustBucket förmågan att ladda ner ytterligare skadliga komponenter från en kommando- och kontrollserver, vilket gör att angriparen kan ta kontroll över det infekterade systemet. Det är viktigt för användare att iaktta försiktighet när de öppnar bilagor eller laddar ner programvara, och att deras operativsystem och säkerhetsprogramvara är uppdaterade för att minska risken för infektion.