RustDoor Bakdörr riktar sig till macOS-system
Forskare har upptäckt en ny macOS-bakdörr kodad i Rust, vilket tyder på kopplingar till ransomware-familjerna Black Basta och Alphv/BlackCat. Skadlig programvara, som heter RustDoor, låtsas vara Visual Studio, som stöder både Intel- och Arm-arkitekturer, och har funnits i omlopp sedan november 2023, och lyckats undvika upptäckt i cirka tre månader. Flera varianter av RustDoor har identifierats, alla delar samma bakdörrsfunktion med små skillnader.
Dessa analyserade prover av RustDoor uppvisar förmågan att utföra olika kommandon för filinsamling och exfiltrering, samt att samla in information om det infekterade systemet. Den insamlade datan överförs sedan till en kommando-och-kontroll-server (C&C) och genererar ett offer-ID för efterföljande kommunikation.
Rost går tillbaka till slutet av 2023
Den första varianten, som upptäcktes i november 2023, verkade vara en testversion som saknade en fullständig beständighetsmekanism och med en "test" plist-fil. Den andra varianten, som observerades i slutet av november, hade större filer, en intrikat JSON-konfiguration och ett Apple-skript designat för att extrahera specifika dokument från mapparna Dokument och Skrivbord, inklusive användaranteckningar. Denna variant gömde de kopierade dokumenten i en dold mapp, komprimerade dem till ett ZIP-arkiv innan de skickades till C&C-servern.
Forskare fann att RustDoor-konfigurationsfilen innehåller alternativ för att efterlikna olika applikationer, vilket ger val för att anpassa en simulerad administratörslösenordsdialog. Vissa konfigurationer anger data som ska samlas in, såsom maximal storlek och antal filer, riktade tillägg och kataloger eller kataloger som ska uteslutas.
JSON-konfigurationen refererar också till fyra beständighetsmekanismer: att använda cronjobs, använda LaunchAgents för körning vid inloggning, modifiera en fil för exekvering när en ny ZSH-session öppnas och lägga till binärfilen i dockan.
Dessutom har en tredje variant identifierats, som forskare tror är den ursprungliga, som observerades första gången den 2 november. Denna variant är mindre komplex och saknar Apple-skriptet och den inbäddade konfigurationen som finns i senare versioner.