Το Bitdefender εντόπισε πρόσφατα ένα κακόβουλο λογισμικό με το όνομα Trojan.MAC.RustDoor, το οποίο στοχεύει συγκεκριμένα συστήματα macOS. Ενεργός από τον Νοέμβριο του 2023, αυτός ο τύπος Trojan, που εμφανίζεται με τη μορφή ενημέρωσης του Visual Studio, στοχεύει στην εξαγωγή αρχείων σε έναν διακομιστή εντολών και ελέγχου. Αν και οι δράστες της επίθεσης παραμένουν αδιευκρίνιστοι, τα στοιχεία υποδηλώνουν σύνδεση με τις ομάδες ransomware BlackBasta και ALPHV/BlackCat.
Τεχνικά χαρακτηριστικά και εξέλιξη του RustDoor
Αυτός ο δούρειος ίππος είναι χαρακτηριστικός επειδή είναι
προγραμματισμένος σε Rust, μια γλώσσα λιγότερο κοινή από την C ή την
Python, καθιστώντας την ανάλυση και τον εντοπισμό του πιο δύσκολη. Η
αρχική έκδοση του RustDoor, που ανακαλύφθηκε αργά, απλώς δοκίμασε τα
χαρακτηριστικά του χωρίς να τα εκμεταλλευτεί. Η παραλλαγή της 22ας
Νοεμβρίου 2023 περιελάμβανε μηχανισμούς επιμονής και ένα αρχείο
διαμόρφωσης, ενώ μια τρίτη έκδοση, που εμφανίστηκε στα τέλη Νοεμβρίου,
ενσωμάτωσε ένα AppleScript για στοχευμένη εξαγωγή δεδομένων από
συγκεκριμένες τοποθεσίες, όπως φακέλους. ~/Bureau
, ~/Documents
και τη βάση δεδομένων της εφαρμογής Notes.
Τα εξαγόμενα δεδομένα περιλαμβάνουν ευαίσθητες πληροφορίες, όπως πιστοποιητικά ασφαλείας, διαμορφώσεις VPN, κωδικούς πρόσβασης και ασφαλείς σημειώσεις. Το RustDoor λειτουργεί διακριτικά, αντιγράφοντας δεδομένα σε έναν κρυφό φάκελο, συμπιέζοντάς τα σε ένα αρχείο ZIP με το όνομα του χρήστη και στη συνέχεια μεταφέροντάς τα σε έναν απομακρυσμένο διακομιστή. Η κερκόπορτα διασφαλίζει την επιμονή της προσαρτώντας τον εαυτό της στο Dock και προσθέτοντας τον εαυτό της στις προγραμματισμένες εργασίες του συστήματος.
Στρατηγικές διείσδυσης και ομοιότητες με άλλα ransomware
Το RustDoor μεταμφιέζεται ως ενημέρωση του Visual Studio, μια στρατηγική που προκαλεί ακόμη μεγαλύτερη έκπληξη από τη στιγμή που η Microsoft ανακοίνωσε την εγκατάλειψη της έκδοσης Mac του επεξεργαστή κώδικα της τον επόμενο Αύγουστο. Οι επιτιθέμενοι ανέπτυξαν εκδόσεις συμβατές με τις αρχιτεκτονικές Intel και Apple Silicon, επιδεικνύοντας σχολαστική προετοιμασία για να στοχεύσουν ένα ευρύ φάσμα Mac.
Οι ομοιότητες στη λειτουργία του Trojan.MAC.RustDoor με ransomware που έχει στοχεύσει τα Windows, ιδίως την οικογένεια ALPHV/BlackCat, επίσης κωδικοποιημένη στο Rust, ενισχύουν την πιθανότητα σύνδεσης μεταξύ αυτών των επιθέσεων και των ομάδων που είναι υπεύθυνες για αυτά τα ransomware.
Πείτε ελεύθερα τη δικιά σας άποψη με τα σχόλια σας