Pesquisadores revelaram uma versão atualizada de um malware para macOS da Apple chamado Rustbucket, que possui capacidades aprimoradas para estabelecer persistência e evitar a detecção por softwares de segurança.
"Essa variante do Rustbucket, uma família de malware que visa sistemas macOS, adiciona capacidades de persistência não observadas anteriormente", disseram pesquisadores do Elastic Security Labs em um relatório publicado nesta semana, acrescentando que está "explorando uma metodologia de infraestrutura de rede dinâmica para comando e controle".
O RustBucket é obra de um ator de ameaças norte-coreano conhecido como BlueNoroff, que faz parte de um conjunto de intrusões maior rastreado sob o nome de Grupo Lazarus, uma unidade de hackers de elite supervisionada pelo Bureau Geral de Reconhecimento (RGB), a principal agência de inteligência do país.
O malware veio à tona em abril de 2023, quando o Jamf Threat Labs o descreveu como um backdoor baseado em AppleScript capaz de recuperar uma carga útil de segunda fase de um servidor remoto.
O Elastic está monitorando a atividade como REF9135.
O malware de segunda fase, compilado em Swift, é projetado para baixar do servidor de comando e controle (C2) o malware principal, um binário baseado em Rust com recursos para coletar informações extensas, além de buscar e executar binários Mach-O adicionais ou scripts do shell no sistema comprometido.
É a primeira vez que o malware BlueNoroff direciona especificamente usuários do macOS, embora uma versão .NET do RustBucket tenha surgido desde então com um conjunto de recursos semelhante.
"Essa atividade recente do Bluenoroff ilustra como conjuntos de intrusões recorrem a linguagens multiplataforma em seus esforços de desenvolvimento de malware, expandindo ainda mais suas capacidades e aumentando provavelmente sua base de vítimas", disse a empresa francesa de cibersegurança Sekoia em uma análise da campanha do RustBucket no final de maio de 2023.
A cadeia de infecção consiste em um arquivo de instalação do macOS que instala um leitor de PDF com backdoor, porém funcional.
Um aspecto significativo dos ataques é que a atividade maliciosa é acionada apenas quando um arquivo PDF armado é aberto usando o leitor de PDF falso.
O vetor inicial de intrusão inclui e-mails de phishing, além de uso de personas falsas em redes sociais como o LinkedIn.
Os ataques observados são altamente direcionados e focados em instituições financeiras na Ásia, Europa e EUA, sugerindo que a atividade está voltada para a geração ilícita de receita para evitar sanções.
O que torna a versão recém-identificada notável é o seu mecanismo de persistência incomum e o uso de um domínio DNS dinâmico (docsend linkpc) para comando e controle, além da incorporação de medidas focadas em permanecer despercebido.
"No caso desta amostra atualizada do RUSTBUCKET, ela estabelece sua própria persistência adicionando um arquivo plist no caminho /Users/user/Library/LaunchAgents/com.apple.systemupdate.plist, e copia o binário do malware para o seguinte caminho /Users/user/Library/Metadata/System Update", disseram os pesquisadores.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...