Sommario
Gli utenti di Apple macOS sono diventati il bersaglio di una nuova backdoor basata su Rust, attiva in incognito da novembre 2023. Ribattezzata RustDoor da Bitdefender, questa minaccia maschera un aggiornamento per Microsoft Visual Studio e prende di mira architetture Intel e Arm.
Dettagli dellāinfezione
La via di accesso iniziale utilizzata per diffondere lāimplant rimane sconosciuta, ma si ritiene che venga distribuito come binari FAT contenenti file Mach-O. Sono state rilevate diverse varianti del malware con modifiche minori, segno di uno sviluppo attivo, con il primo campione di RustDoor risalente al 2 novembre 2023.
Caratteristiche di RustDoor
- Distribuzione: RustDoor si presenta come un aggiornamento falso di Visual Studio, ingannando gli utenti a installarlo.
- FunzionalitĆ : Il backdoor ĆØ progettato per raccogliere dati dalla macchina infetta e caricarli, offrendo agli attaccanti un controllo remoto sul dispositivo colpito.
- Varianti: Sono state identificate almeno tre diverse varianti del backdoor, sebbene il meccanismo esatto di propagazione iniziale rimanga sconosciuto.
Bitdefender ha scoperto che il malware ĆØ stato utilizzato in un attacco mirato piuttosto che in una campagna di distribuzione diffusa. Sono stati trovati ulteriori artefatti responsabili del download e dellāesecuzione di RustDoor.
Metodi di Inganno
Alcuni dei downloader di prima fase si spacciano per file PDF con offerte di lavoro, ma in realtĆ sono script che scaricano ed eseguono il malware, oltre a scaricare e aprire un file PDF innocuo che si presenta come un accordo di riservatezza. Sono emersi ulteriori campioni malevoli che fungono da payload di prima fase, tutti presentati come offerte di lavoro.
Dettagli Tecnici
I file dellāarchivio, contenenti uno script shell di base, sono responsabili del recupero dellāimplant da un sito web e dellāanteprima di un file PDF innocuo come distrazione. Bitdefender ha inoltre rilevato quattro nuovi binari basati su Golang che comunicano con un dominio controllato dagli attori della minaccia, con lo scopo di raccogliere informazioni sulla macchina della vittima e sulle sue connessioni di rete.
Implicazioni per le Aziende
Lāinfrastruttura di comando e controllo (C2) ha rivelato un endpoint che consente di ottenere dettagli sulle vittime attualmente infette, evidenziando lāobiettivo degli attaccanti verso il personale ingegneristico senior. La scoperta di RustDoor mette in luce la continua evoluzione delle minacce informatiche e lāimportanza per le aziende di mantenere una forte postura di sicurezza per proteggersi dalle sofisticate campagne di attacco.
Collegamenti con famiglie di Ransomware
La societĆ di cybersecurity rumena ha indicato che il malware ĆØ probabilmente collegato a famiglie di ransomware note come Black Basta e BlackCat, a causa di sovrapposizioni nellāinfrastruttura C2. ALPHV/BlackCat, una famiglia di ransomware scritta anchāessa in Rust, ĆØ apparsa per la prima volta nel novembre 2021 e ha inaugurato il modello di business delle fughe di dati pubbliche.
A dicembre 2023, il governo degli Stati Uniti ha annunciato la disattivazione dellāoperazione ransomware BlackCat e ha rilasciato uno strumento di decrittazione che oltre 500 vittime colpite possono utilizzare per recuperare lāaccesso ai file bloccati dal malware.