Gli utenti macOS devono stare attenti a un nuovo malware, denominato RustBucket, scoperto dai ricercatori di Jamf, che sta colpendo i dispositivi Apple. Il gruppo di minacce BlueNoroff, associato al famoso gruppo di attacchi avanzati persistenti (APT) Lazarus, è ritenuto responsabile del malware e del suo utilizzo.
Il funzionamento del malware RustBucket
RustBucket si presenta come un’app legittima per la visualizzazione di file PDF (Internal PDF Viewer), che funziona effettivamente. L’app Internal PDF Viewer è un’app non firmata che, una volta eseguita, scarica il malware di seconda fase dal server di comando e controllo (C2). La seconda fase del malware, anch’essa chiamata Internal PDF Viewer, è un’applicazione firmata che si finge un legittimo identificatore di bundle Apple (com.apple.pdfViewer) con una firma ad hoc.
L’attacco in tre fasi
L’attacco si svolge in tre fasi: la prima fase consiste nell’esecuzione dell’app Internal PDF Viewer; la seconda fase richiede l’apertura di un file PDF specifico, che avvia l’esecuzione dell’attacco; infine, nella terza fase viene eseguito un trojan di 11,2 MB, anch’esso firmato ad hoc e scritto in Rust, che raccoglie informazioni di base sul sistema, come l’ora corrente, l’elenco dei processi e la verifica se viene eseguito in una macchina virtuale.
Come proteggersi da RustBucket
Per fortuna, RustBucket richiede che l’utente ignori Gatekeeper, la funzionalità integrata in macOS che avvisa gli utenti sull’installazione di applicazioni da fonti non attendibili. Per proteggersi da malware come RustBucket, gli utenti macOS dovrebbero sempre mantenere attivo Gatekeeper e prestare attenzione ai file PDF e alle applicazioni che scaricano da Internet.
L’aumento degli attacchi ai sistemi macOS
Il malware RustBucket evidenzia come gli attaccanti stiano prestando maggiore attenzione ai sistemi macOS, soprattutto perché il gruppo Lazarus ha una lunga storia di attacchi a tale piattaforma. È probabile che altri gruppi APT inizino a fare lo stesso, sottolineando l’importanza di aggiornare continuamente i propri sistemi di sicurezza e di prestare attenzione alle nuove minacce.