Puerta trasera RustDoor

Una puerta trasera de macOS recientemente descubierta, codificada en Rust, se ha vinculado a los conocidos grupos de ransomware Black Basta y Alphv/BlackCat. El malware, denominado RustDoor, se hace pasar por Visual Studio y es compatible con las arquitecturas Intel y Arm y ha estado circulando desde noviembre de 2023, logrando evadir la detección durante varios meses.

Los investigadores han identificado varias versiones de RustDoor, todas las cuales comparten la misma funcionalidad de puerta trasera con pequeñas diferencias. Todas estas variantes admiten una variedad de comandos para la recolección y exfiltración de archivos, así como para recopilar información sobre el dispositivo infectado. Luego, los datos recopilados se transmiten a un servidor de comando y control (C&C), donde se genera una identificación de víctima y se utiliza en comunicaciones posteriores.

La puerta trasera RustDoor ha ido evolucionando sus capacidades inseguras

La versión inicial de RustDoor Backdoor, detectada en noviembre de 2023, parece haber funcionado como una versión de prueba. Carecía de un mecanismo de persistencia integral y presentaba un archivo plist de "prueba".

La segunda variante, que se cree que apareció un mes después, tenía archivos más grandes e incluía una configuración JSON sofisticada y un script de Apple diseñado para extraer documentos específicos de las carpetas Documentos y Escritorio y las notas del usuario.

Al establecerse en los sistemas comprometidos, el malware copia los documentos y datos específicos en una carpeta oculta, los comprime en un archivo ZIP y luego los transmite al servidor de Comando y Control (C&C). Algunas configuraciones especifican instrucciones de recopilación de datos, como el tamaño máximo y la cantidad de archivos, listas de extensiones y directorios específicos o directorios para excluir. Los investigadores también descubrieron que el archivo de configuración de RustDoor permite la suplantación de diferentes aplicaciones, con opciones para personalizar un cuadro de diálogo de contraseña de administrador falsificado.

La configuración JSON hace referencia a cuatro mecanismos de persistencia, utilizando cronjobs, LaunchAgents (lo que resulta en la ejecución al iniciar sesión), modificando un archivo para garantizar la ejecución al abrir una nueva sesión ZSH y agregar el binario al Dock.

Se ha descubierto una tercera variante de puerta trasera y parece ser la original. Carece de la complejidad, el script de Apple y la configuración integrada presentes en otras variantes de RustDoor.

El malware utiliza tres servidores C&C previamente vinculados a las campañas Black Basta y Alphv/BlackCat Ransomware. BlackCat, el primer ransomware de cifrado de archivos en el lenguaje de programación Rust, surgió en 2021 y fue desmantelado en diciembre de 2023.

Los ataques de malware de puerta trasera pueden tener graves repercusiones para las víctimas

La presencia de malware de puerta trasera en los dispositivos de los usuarios plantea peligros importantes y variados, ya que otorga acceso no autorizado a actores maliciosos. A continuación se detallan algunos peligros potenciales asociados con la infección de los dispositivos de los usuarios con malware de puerta trasera:

• Acceso y control no autorizados : las puertas traseras proporcionan un punto de entrada secreto para los atacantes, lo que les permite obtener acceso no autorizado al dispositivo infectado. Una vez dentro, pueden tomar el control de varias funciones, manipular archivos y ejecutar comandos sin el conocimiento o consentimiento del usuario.
• Robo y filtración de datos : las puertas traseras a menudo permiten el robo y la filtración de datos confidenciales almacenados en el dispositivo comprometido. Los atacantes pueden acceder a información personal, datos financieros, credenciales de inicio de sesión y otros datos confidenciales, lo que genera posibles robos de identidad, pérdidas financieras o violaciones de la privacidad.
• Espionaje y vigilancia : el malware de puerta trasera se asocia comúnmente con actividades de espionaje. Los atacantes pueden utilizar la puerta trasera para espiar a los usuarios, monitorear sus actividades, realizar capturas de pantalla, registrar pulsaciones de teclas e incluso acceder a cámaras web o micrófonos, comprometiendo la privacidad de los usuarios.
• Implementación de ransomware : a veces se utilizan puertas traseras como puerta de entrada para implementar ransomware. Una vez que los atacantes obtienen acceso a través de una puerta trasera, pueden cifrar los archivos del usuario y exigir un rescate por su liberación, lo que provoca importantes interrupciones y pérdidas financieras.
• Manipulación e interrupción del sistema : las puertas traseras pueden permitir a los atacantes manipular la configuración del sistema, interrumpir las operaciones normales o incluso desactivar las medidas de seguridad. Esto puede terminar provocando inestabilidad y fallas en el sistema y dificultar que los usuarios utilicen sus dispositivos de manera efectiva.
• Propagación y propagación de red : algunas puertas traseras tienen capacidades de autorreplicación, lo que les permite propagarse a través de redes e infectar otros dispositivos. Esto puede poner en riesgo redes enteras, afectando a múltiples usuarios y organizaciones.
• Seguridad de red comprometida : se pueden utilizar puertas traseras para eludir las medidas de seguridad de la red, lo que facilita que los atacantes se infiltren en redes organizativas más amplias. Esto puede provocar violaciones de seguridad adicionales y comprometer la integridad de información corporativa o gubernamental confidencial.

Para mitigar estos riesgos, es fundamental que los usuarios empleen medidas sólidas de ciberseguridad, incluidas actualizaciones periódicas de software, el uso de programas antivirus acreditados y la práctica de comportamientos seguros en línea para evitar ser víctimas de ataques de malware de puerta trasera. Además, las organizaciones deben implementar protocolos sólidos de seguridad de red para detectar y manejar amenazas potenciales con prontitud.