RustDoor: nuova minaccia per macOS

da Redazione
0 commenti 2 minuti leggi

Gli utenti di Apple macOS sono diventati il bersaglio di una nuova backdoor basata su Rust, attiva in incognito da novembre 2023. Ribattezzata RustDoor da Bitdefender, questa minaccia maschera un aggiornamento per Microsoft Visual Studio e prende di mira architetture Intel e Arm.

Dettagli dellā€™infezione

La via di accesso iniziale utilizzata per diffondere lā€™implant rimane sconosciuta, ma si ritiene che venga distribuito come binari FAT contenenti file Mach-O. Sono state rilevate diverse varianti del malware con modifiche minori, segno di uno sviluppo attivo, con il primo campione di RustDoor risalente al 2 novembre 2023.

Caratteristiche di RustDoor

  • Distribuzione: RustDoor si presenta come un aggiornamento falso di Visual Studio, ingannando gli utenti a installarlo.
  • FunzionalitĆ : Il backdoor ĆØ progettato per raccogliere dati dalla macchina infetta e caricarli, offrendo agli attaccanti un controllo remoto sul dispositivo colpito.
  • Varianti: Sono state identificate almeno tre diverse varianti del backdoor, sebbene il meccanismo esatto di propagazione iniziale rimanga sconosciuto.

Bitdefender ha scoperto che il malware ĆØ stato utilizzato in un attacco mirato piuttosto che in una campagna di distribuzione diffusa. Sono stati trovati ulteriori artefatti responsabili del download e dellā€™esecuzione di RustDoor.

Metodi di Inganno

image 155
RustDoor: nuova minaccia per macOS 7

Alcuni dei downloader di prima fase si spacciano per file PDF con offerte di lavoro, ma in realtĆ  sono script che scaricano ed eseguono il malware, oltre a scaricare e aprire un file PDF innocuo che si presenta come un accordo di riservatezza. Sono emersi ulteriori campioni malevoli che fungono da payload di prima fase, tutti presentati come offerte di lavoro.

Dettagli Tecnici

I file dellā€™archivio, contenenti uno script shell di base, sono responsabili del recupero dellā€™implant da un sito web e dellā€™anteprima di un file PDF innocuo come distrazione. Bitdefender ha inoltre rilevato quattro nuovi binari basati su Golang che comunicano con un dominio controllato dagli attori della minaccia, con lo scopo di raccogliere informazioni sulla macchina della vittima e sulle sue connessioni di rete.

Implicazioni per le Aziende

Lā€™infrastruttura di comando e controllo (C2) ha rivelato un endpoint che consente di ottenere dettagli sulle vittime attualmente infette, evidenziando lā€™obiettivo degli attaccanti verso il personale ingegneristico senior. La scoperta di RustDoor mette in luce la continua evoluzione delle minacce informatiche e lā€™importanza per le aziende di mantenere una forte postura di sicurezza per proteggersi dalle sofisticate campagne di attacco.

Annunci

Collegamenti con famiglie di Ransomware

La societĆ  di cybersecurity rumena ha indicato che il malware ĆØ probabilmente collegato a famiglie di ransomware note come Black Basta e BlackCat, a causa di sovrapposizioni nellā€™infrastruttura C2. ALPHV/BlackCat, una famiglia di ransomware scritta anchā€™essa in Rust, ĆØ apparsa per la prima volta nel novembre 2021 e ha inaugurato il modello di business delle fughe di dati pubbliche.

A dicembre 2023, il governo degli Stati Uniti ha annunciato la disattivazione dellā€™operazione ransomware BlackCat e ha rilasciato uno strumento di decrittazione che oltre 500 vittime colpite possono utilizzare per recuperare lā€™accesso ai file bloccati dal malware.

Si puĆ² anche come

MatriceDigitale.it – Copyright Ā© 2024, Livio Varriale – Registrazione Tribunale di Napoli nĀ° 60 del 18/11/2021. – P.IVA IT10498911212 Privacy Policy e Cookies

Developed with love byĀ Giuseppe Ferrara