Specialiștii în securitate informatică de la Bitdefender au descoperit o nouă amenințare informatică ce vizează utilizatorii de MacOS. Aceasta funcționează ca un backdoor prin care atacatorii obțin acces la date și fișiere personale.
Această familie de programe malware nedocumentată anterior este scrisă în Rust și include mai multe caracteristici interesante. În timp ce investigația este în curs de desfășurare, trimitem această alertă pentru a împărtăși indicatorii de compromitere cu comunitatea. Produsele Bitdefender identifică această amenințare ca fiind Trojan.MAC.RustDoor.
Backdoor-ul pare să se dea drept o actualizare Visual Studio, iar toate fișierele identificate sunt distribuite direct ca fișiere binare FAT cu fișiere Mach-O pentru ambele arhitecturi x86_64 Intel și ARM. Niciunul dintre fișiere nu are alți părinți (pachete de aplicații, imagini de disc). Unele dintre eșantioanele identificate se află sub următoarele nume:
- zshrc2
- Previewers
- VisualStudioUpdater
- VisualStudioUpdater_Patch
- VisualStudioUpdating
- visualstudioupdate
- DO_NOT_RUN_ChromeUpdates
În timp ce informațiile actuale despre Trojan.MAC.RustDoor nu sunt suficiente pentru a atribui cu încredere această campanie unui anumit actor de amenințări, artefactele și IoC-urile sugerează o posibilă relație cu operatorii de ransomware BlackBasta și (ALPHV/BlackCat).
Mai exact, trei din cele patru servere de comandă și control au fost asociate anterior cu campanii de ransomware care au vizat clienți Windows. ALPHV/BlackCat este o familie de ransomware (scrisă, de asemenea, în Rust), care și-a făcut apariția pentru prima dată în noiembrie 2021 și care a fost pionierul modelului de afaceri cu scurgeri publice.
Principalele descoperiri
- Amenințarea informatică este executată de la distanță și poate fi utilizată pentru a fura anumite informații sensibile sau tipuri de date, a le arhiva și trimite apoi către un centru de comandă și control
- Atacul imită Visual Studio și vizează întreaga arhitectură Apple, atât procesoarele Intel, cât și pe cele ARM.
- Este o campanie activă care pare să dateze din noiembrie 2023. Specialiștii Bitdefender au reușit să identifice probe/dovezi care arată evoluția amenințării.
- Limbajul de programare folosit este RUST, un limbaj relativ nou în ceea ce privește amenințările informatice și care îi ajută pe atacatori să ocolească sistemele de detecție.
- Deși, pe baza informațiilor corelate până în prezent campania nu poate fi atribuită unui anumit actor al amenințării, din datele analizate rezultă o posibilă legătură cu grupările de ransomware.
- Cercetătorii Bitdefender au observat o serie de similarități între această campanie și gruparea de ransomware ALPH/Black Cat, printre care, utilizarea unor servere comune pentru centrele de comandă și control, precum și preferința pentru limbajul RUST.
Cercetarea cuprinde și Indicatorii de Compromitere (IoC) identificați în cadrul atacului, astfel încât specialiștii și companiile să-i includă în soluțiilor lor de securitate.
Investigația completă poate fi accesată aici.