A Backdoor RustDoor macOS mira empresas de criptomoedas com ofertas falsas de trabalho
19 de Fevereiro de 2024

Várias empresas que operam no setor de criptomoedas são o alvo de uma campanha de malware em andamento que envolve uma nova backdoor do Apple macOS denominada RustDoor.

A RustDoor foi documentada pela primeira vez pela Bitdefender na semana passada, descrita como um malware baseado em Rust capaz de coletar e fazer upload de arquivos, bem como reunir informações sobre as máquinas infectadas.

É distribuído se disfarçando de uma atualização do Visual Studio.

Enquanto evidências anteriores descobriram pelo menos três variantes diferentes da backdoor, o mecanismo de propagação inicial exato permaneceu desconhecido.

Dito isto, a empresa de segurança cibernética romena posteriormente informou ao The Hacker News que o malware era usado como parte de um ataque direcionado, em vez de uma campanha de distribuição ampla, observando que encontrou artefatos adicionais responsáveis pelo download e execução do RustDoor.

"Alguns desses downloaders de primeira etapa afirmam ser arquivos PDF com ofertas de emprego, mas na realidade, são scripts que baixam e executam o malware enquanto também baixam e abrem um arquivo PDF inocente que se intitula um acordo de confidencialidade", disse Bogdan Botezatu, diretor de pesquisa e relatório de ameaças da Bitdefender.

Desde então, surgiram mais três amostras maliciosas que atuam como payloads de primeira etapa, cada uma delas fazendo se passar por uma oferta de trabalho.

Esses arquivos ZIP precedem os binários RustDoor anteriores em quase um mês.

O novo componente da cadeia de ataque - ou seja, os arquivos de arquivo ("Jobinfo.app.zip" ou "Jobinfo.zip") - contém um script de shell básico responsável por buscar o implante de um site chamado turkishfurniture[.]blog.

Ele também foi projetado para visualizar um arquivo PDF de engodo inofensivo (“job.pdf”) hospedado no mesmo site como distração.

A Bitdefender disse que também detectou quatro novos binários baseados em Golang que se comunicam com um domínio controlado pelo ator ("sarkerrentacars[.]com"), cujo propósito é "coletar informações sobre a máquina da vítima e suas conexões de rede usando os utilitários system_profiler e networksetup, que fazem parte do sistema operacional macOS.

Além disso, os binários são capazes de extrair detalhes sobre o disco através da "diskutil list", bem como obter uma ampla lista de parâmetros e valores de configuração do kernel usando o comando "sysctl -a".

Uma investigação mais próxima da infraestrutura de comando e controle (C2) também revelou um ponto de extremidade vazante ("/client/bots") que torna possível obter detalhes sobre as vítimas atualmente infectadas, incluindo os timestamps de quando o host infectado foi registrado e a última atividade foi observada.

"Sabemos que até agora há pelo menos três empresas vítimas", disse Botezatu.

"Os atacantes parecem visar a equipe sênior de engenharia - e isso explica por que o malware está disfarçado de uma atualização do Visual Studio.

Ainda não sabemos se existem outras empresas comprometidas neste momento, mas ainda estamos investigando isso."

"Parece que as vítimas estão de fato geograficamente ligadas - duas das vítimas estão em Hong Kong, enquanto a outra está em Lagos, na Nigéria."

O desenvolvimento surge à medida que o Serviço Nacional de Inteligência da Coréia do Sul (NIS) revelou que uma organização de TI afiliada ao Escritório No.

39 do Partido dos Trabalhadores da Coréia do Norte está gerando renda ilícita vendendo milhares de sites de jogos de azar infectados com malware para outros criminosos cibernéticos para roubar dados sensíveis de apostadores desavisados.

A empresa por trás do esquema de malware como serviço (MaaS) é a Gyeongheung (também escrita como Gyonghung), uma entidade de 15 membros baseada em Dandong que supostamente recebeu $5,000 de uma organização criminosa sul-coreana não identificada em troca de criar um único site e $3,000 por mês para manter o site, informou a Yonhap News Agency.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...