Gli utenti di Apple macOS sono diventati il bersaglio di una nuova backdoor basata su Rust, attiva in incognito da novembre 2023. Ribattezzata RustDoor da Bitdefender, questa minaccia maschera un aggiornamento per Microsoft Visual Studio e prende di mira architetture Intel e Arm.
Dettagli dell’infezione
La via di accesso iniziale utilizzata per diffondere l’implant rimane sconosciuta, ma si ritiene che venga distribuito come binari FAT contenenti file Mach-O. Sono state rilevate diverse varianti del malware con modifiche minori, segno di uno sviluppo attivo, con il primo campione di RustDoor risalente al 2 novembre 2023.
Caratteristiche di RustDoor
- Distribuzione: RustDoor si presenta come un aggiornamento falso di Visual Studio, ingannando gli utenti a installarlo.
- Funzionalità: Il backdoor è progettato per raccogliere dati dalla macchina infetta e caricarli, offrendo agli attaccanti un controllo remoto sul dispositivo colpito.
- Varianti: Sono state identificate almeno tre diverse varianti del backdoor, sebbene il meccanismo esatto di propagazione iniziale rimanga sconosciuto.
Bitdefender ha scoperto che il malware è stato utilizzato in un attacco mirato piuttosto che in una campagna di distribuzione diffusa. Sono stati trovati ulteriori artefatti responsabili del download e dell’esecuzione di RustDoor.
Metodi di Inganno
Alcuni dei downloader di prima fase si spacciano per file PDF con offerte di lavoro, ma in realtà sono script che scaricano ed eseguono il malware, oltre a scaricare e aprire un file PDF innocuo che si presenta come un accordo di riservatezza. Sono emersi ulteriori campioni malevoli che fungono da payload di prima fase, tutti presentati come offerte di lavoro.
Dettagli Tecnici
I file dell’archivio, contenenti uno script shell di base, sono responsabili del recupero dell’implant da un sito web e dell’anteprima di un file PDF innocuo come distrazione. Bitdefender ha inoltre rilevato quattro nuovi binari basati su Golang che comunicano con un dominio controllato dagli attori della minaccia, con lo scopo di raccogliere informazioni sulla macchina della vittima e sulle sue connessioni di rete.
Implicazioni per le Aziende
L’infrastruttura di comando e controllo (C2) ha rivelato un endpoint che consente di ottenere dettagli sulle vittime attualmente infette, evidenziando l’obiettivo degli attaccanti verso il personale ingegneristico senior. La scoperta di RustDoor mette in luce la continua evoluzione delle minacce informatiche e l’importanza per le aziende di mantenere una forte postura di sicurezza per proteggersi dalle sofisticate campagne di attacco.
Collegamenti con famiglie di Ransomware
La società di cybersecurity rumena ha indicato che il malware è probabilmente collegato a famiglie di ransomware note come Black Basta e BlackCat, a causa di sovrapposizioni nell’infrastruttura C2. ALPHV/BlackCat, una famiglia di ransomware scritta anch’essa in Rust, è apparsa per la prima volta nel novembre 2021 e ha inaugurato il modello di business delle fughe di dati pubbliche.
A dicembre 2023, il governo degli Stati Uniti ha annunciato la disattivazione dell’operazione ransomware BlackCat e ha rilasciato uno strumento di decrittazione che oltre 500 vittime colpite possono utilizzare per recuperare l’accesso ai file bloccati dal malware.