RustDoor 后门针对 macOS 系统

研究人员发现了一个用 Rust 编码的新 macOS 后门，表明与 Black Basta 和 Alphv/BlackCat 勒索软件系列有联系。该恶意软件名为 RustDoor，伪装成 Visual Studio，支持 Intel 和 Arm 架构，自 2023 年 11 月以来一直在传播，成功逃避检测约三个月。 RustDoor 的多个变体已被识别，所有变体都共享相同的后门功能，但略有差异。

这些经过分析的 RustDoor 样本表现出执行各种文件收集和渗透命令的能力，以及收集有关受感染系统的信息的能力。然后收集到的数据被传输到命令与控制 (C&C) 服务器，生成受害者 ID 以供后续通信。

Rust 的历史可以追溯到 2023 年底

2023 年 11 月检测到的初始变体似乎是一个测试版本，缺乏完整的持久性机制并具有“测试”plist 文件。 11 月底观察到的第二个变体具有更大的文件、复杂的 JSON 配置以及旨在从 Documents 和 Desktop 文件夹中提取特定文档（包括用户注释）的 Apple 脚本。此变体将复制的文档隐藏在隐藏文件夹中，将其压缩为 ZIP 存档，然后再将其发送到 C&C 服务器。

研究人员发现 RustDoor 配置文件包含用于模仿各种应用程序的选项，提供自定义模拟管理员密码对话框的选项。某些配置指定要收集的数据，例如文件的最大大小和数量、目标扩展名和目录或要排除的目录。

JSON 配置还引用了四种持久性机制：使用 cronjobs、使用 LaunchAgents 在登录时执行、修改文件以在打开新的 ZSH 会话时执行，以及将二进制文件添加到扩展坞。

此外，还发现了第三个变体，研究人员认为该变体是 11 月 2 日首次观察到的原始变体。该变体不太复杂，缺少后续版本中发现的 Apple 脚本和嵌入式配置。