RustDoor 後門針對 macOS 系統

研究人員發現了一個用 Rust 編碼的新 macOS 後門，表明與 Black Basta 和 Alphv/BlackCat 勒索軟體系列有聯繫。該惡意軟體名為 RustDoor，偽裝成 Visual Studio，支援 Intel 和 Arm 架構，自 2023 年 11 月以來一直在傳播，成功逃避偵測約三個月。 RustDoor 的多個變體已被識別，所有變體都共享相同的後門功能，但略有差異。

這些經過分析的 RustDoor 樣本表現出執行各種文件收集和滲透命令的能力，以及收集有關受感染系統的資訊的能力。然後收集到的資料傳輸到命令與控制 (C&C) 伺服器，產生受害者 ID 以供後續通訊。

Rust 的歷史可以追溯到 2023 年底

2023 年 11 月檢測到的初始變體似乎是一個測試版本，缺乏完整的持久性機制並具有「測試」plist 檔案。 11 月底觀察到的第二個變體具有更大的文件、複雜的 JSON 配置以及旨在從 Documents 和 Desktop 資料夾中提取特定文件（包括使用者註釋）的 Apple 腳本。此變體將複製的文件隱藏在隱藏資料夾中，將其壓縮為 ZIP 存檔，然後再將其傳送至 C&C 伺服器。

研究人員發現 RustDoor 設定檔包含用於模仿各種應用程式的選項，提供自訂模擬管理員密碼對話框的選項。某些配置指定要收集的數據，例如檔案的最大大小和數量、目標副檔名和目錄或要排除的目錄。

JSON 配置還引用了四種持久性機制：使用 cronjobs、使用 LaunchAgents 在登入時執行、修改檔案以在開啟新的 ZSH 會話時執行，以及將二進位檔案新增至擴充座。

此外，還發現了第三個變體，研究人員認為該變體是 11 月 2 日首次觀察到的原始變體。該變體不太複雜，缺少後續版本中發現的 Apple 腳本和嵌入式配置。