Malware RustBucket
Los expertos en seguridad cibernética han identificado una forma novedosa de malware que está específicamente diseñado para apuntar a los dispositivos Apple que ejecutan macOS. Este software amenazante, conocido como RustBucket, está siendo utilizado por un grupo de amenazas persistentes avanzadas (APT) llamado BlueNoroff, que se cree que está estrechamente vinculado o posiblemente incluso sea un subgrupo del notorio grupo Lazarus .
En particular, BlueNoroff se ha dirigido previamente a sistemas basados en Windows utilizando malware que pudo eludir los protocolos de seguridad Mark-of-the-Web. El malware para macOS recién descubierto está disfrazado como una aplicación de visualización de PDF legítima llamada "Visor de PDF interno" que parece funcionar como se esperaba. Sin embargo, en realidad, es una herramienta insidiosa utilizada para obtener acceso no autorizado a datos confidenciales en sistemas comprometidos. Jamf, una empresa de administración de dispositivos móviles, dio a conocer detalles sobre la amenaza.
Tabla de contenido
El malware RustBucket macOS se entrega en múltiples etapas
El malware RustBucket utiliza un enfoque de varias etapas para infectar los dispositivos Mac específicos. La primera etapa es una aplicación no firmada llamada 'Internal PDF Viewer' que, al ejecutarse, descarga la segunda etapa del malware desde un servidor de comando y control (C2).
La segunda etapa del malware lleva el mismo nombre: 'Visor de PDF interno', pero esta vez es una aplicación firmada que está diseñada para parecerse a un identificador legítimo de paquete de Apple (com.apple.pdfViewer) y tiene un ad-hoc firma. Al dividir el malware en diferentes etapas, los actores de amenazas hacen que sea más difícil de analizar, especialmente si el servidor C2 se desconecta.
Un archivo PDF corrupto es la última pieza de la infección RustBucket
Sin embargo, incluso en esta etapa, RustBucket no activará ninguna de sus capacidades maliciosas. Para activar con éxito su verdadera funcionalidad en el dispositivo macOS violado, se debe abrir un archivo PDF específico. Este archivo PDF corrupto está disfrazado como un documento de nueve páginas que pretende contener información sobre empresas de capital de riesgo que buscan invertir en nuevas empresas técnicas.
En realidad, abrir el archivo completará la cadena de infección de RustBucket al activar la ejecución de un troyano de 11,2 MB que también está firmado con una firma ad-hoc y escrito en Rust. La amenaza troyana puede realizar varias funciones intrusivas, como llevar a cabo un reconocimiento del sistema mediante la recopilación de datos básicos del sistema y la obtención de una lista de los procesos que se están ejecutando actualmente. La amenaza también envía datos a los atacantes si se ejecuta en un entorno virtual.
Los ciberdelincuentes comienzan a adaptarse al ecosistema macOS
La utilización de malware por parte de los atacantes cibernéticos destaca una tendencia creciente en la que el sistema operativo macOS se está convirtiendo cada vez más en un objetivo para el delito cibernético. Esta tendencia está impulsada por el hecho de que los ciberdelincuentes están reconociendo que necesitan actualizar sus herramientas y tácticas para incluir la plataforma de Apple. Esto significa que un número considerable de víctimas potenciales corren el riesgo de ser atacados por atacantes que han adaptado sus estrategias para explotar las vulnerabilidades de los sistemas macOS.
