RustBucket-Malware
Cybersicherheitsexperten haben eine neuartige Form von Malware identifiziert, die speziell für Apple-Geräte mit macOS entwickelt wurde. Diese als RustBucket bekannte Bedrohungssoftware wird von einer Advanced Persistent Threat (APT)-Gruppe namens BlueNoroff verwendet, von der angenommen wird, dass sie eng verbunden mit, oder möglicherweise sogar einer Untergruppe der berüchtigten Lazarus -Gruppe ist.
Insbesondere hat BlueNoroff zuvor Windows-basierte Systeme mit Malware ins Visier genommen, die in der Lage war, Mark-of-the-Web-Sicherheitsprotokolle zu umgehen. Die neu entdeckte macOS-Malware ist als legitime PDF-Viewer-Anwendung namens „Internal PDF Viewer“ getarnt, die wie erwartet zu funktionieren scheint. In Wirklichkeit handelt es sich jedoch um ein heimtückisches Tool, das verwendet wird, um unbefugten Zugriff auf sensible Daten auf kompromittierten Systemen zu erhalten. Einzelheiten über die Bedrohung wurden von Jamf, einem Unternehmen für die Verwaltung mobiler Geräte, veröffentlicht.
Inhaltsverzeichnis
Die macOS-Malware RustBucket wird in mehreren Phasen bereitgestellt
Die Malware RustBucket verwendet einen mehrstufigen Ansatz, um die Ziel-Mac-Geräte zu infizieren. Die erste Stufe ist eine unsignierte Anwendung namens „Internal PDF Viewer“, die bei Ausführung die zweite Stufe der Malware von einem Command-and-Control (C2)-Server herunterlädt.
Die zweite Stufe der Malware trägt denselben Namen – „Internal PDF Viewer“, aber diesmal handelt es sich um eine signierte Anwendung, die so konzipiert ist, dass sie wie eine legitime Apple-Bundle-ID aussieht (com.apple.pdfViewer) und über eine Ad-hoc-Unterschrift Funktion verfügt. Durch die Unterteilung der Malware in verschiedene Stadien erschweren die Bedrohungsakteure die Analyse, insbesondere wenn der C2-Server offline geht.
Eine beschädigte PDF-Datei ist das letzte Stück der RustBucket-Infektion
Aber selbst in diesem Stadium wird RustBucket keine seiner bösartigen Fähigkeiten aktivieren. Um die wahre Funktionalität auf dem angegriffenen macOS-Gerät erfolgreich zu aktivieren, muss eine bestimmte PDF-Datei geöffnet werden. Diese beschädigte PDF-Datei ist als neunseitiges Dokument getarnt, das vorgibt, Informationen über Risikokapitalfirmen zu enthalten, die in technische Start-ups investieren wollen.
In Wirklichkeit vervollständigt das Öffnen der Datei die RustBucket-Infektionskette, indem es die Ausführung eines 11,2-MB-Trojaners auslöst, der ebenfalls mit einer Ad-hoc-Signatur signiert und in Rust geschrieben ist. Die Trojaner-Bedrohung kann verschiedene Eingriffsfunktionen ausführen, wie z. B. Systemaufklärung durch Sammeln grundlegender Systemdaten und Abrufen einer Liste der aktuell laufenden Prozesse. Die Bedrohung sendet auch Daten an die Angreifer, wenn sie in einer virtuellen Umgebung ausgeführt wird.
Die Cyberkriminellen beginnen, sich an das macOS-Ökosystem anzupassen
Die Verwendung von Malware durch Cyberangreifer unterstreicht einen wachsenden Trend, bei dem das Betriebssystem macOS immer mehr zum Ziel von Cyberkriminalität wird. Dieser Trend wird durch die Tatsache vorangetrieben, dass Cyberkriminelle erkennen, dass sie ihre Tools und Taktiken aktualisieren müssen, um die Apple-Plattform einzubeziehen. Dies bedeutet, dass eine beträchtliche Anzahl potenzieller Opfer Gefahr läuft, Ziel von Angreifern zu werden, die ihre Strategien angepasst haben, um die Schwachstellen von macOS-Systemen auszunutzen.
