Nueva variante de malware 'Rustbucket' dirigida a usuarios de macOS

Los investigadores han retirado el telón de una versión actualizada de un malware Apple macOS llamado Rustbucket que viene con capacidades mejoradas para establecer la persistencia y evitar la detección por parte del software de seguridad.

"Esta variante de Rustbucket, una familia de malware que se dirige a los sistemas macOS, agrega capacidades de persistencia no observadas anteriormente", dijeron los investigadores de Elastic Security Labs en un informe publicado esta semana, y agregaron que está "aprovechando una metodología de infraestructura de red dinámica para comando y control".

RustBucket es el trabajo de un actor de amenazas norcoreano conocido como BlueNoroff, que forma parte de un conjunto de intrusiones más grande rastreado bajo el nombre de Lazarus Group, una unidad de piratería de élite supervisada por la Oficina General de Reconocimiento (RGB), la principal agencia de inteligencia del país.

El malware salió a la luz en abril de 2023, cuando Jamf Threat Labs lo describió como una puerta trasera basada en AppleScript capaz de recuperar una carga útil de segunda etapa de un servidor remoto. Elastic monitorea la actividad como REF9135.

El malware de segunda etapa, compilado en Swift, está diseñado para descargar desde el servidor de comando y control (C2) el malware principal, un binario basado en Rust con características para recopilar información extensa, así como buscar y ejecutar binarios Mach-O adicionales o scripts de shell en el sistema comprometido.

Es la primera instancia de malware BlueNoroff dirigida específicamente a usuarios de macOS, aunque desde entonces ha surgido una versión .NET de RustBucket con un conjunto similar de características.

"Esta reciente actividad de Bluenoroff ilustra cómo los conjuntos de intrusión recurren al lenguaje multiplataforma en sus esfuerzos de desarrollo de malware, ampliando aún más sus capacidades y es muy probable que amplíen su victimología", dijo la compañía francesa de ciberseguridad Sekoia en un análisis de la campaña RustBucket a fines de mayo de 2023.

La cadena de infección consiste en un archivo de instalación de macOS que instala un lector de PDF de puerta trasera, pero funcional. Un aspecto significativo de los ataques es que la actividad maliciosa se activa solo cuando se inicia un archivo PDF armado utilizando el lector de PDF deshonesto. El vector de intrusión inicial incluye correos electrónicos de phishing, así como el empleo de personas falsas en redes sociales como LinkedIn.

Los ataques observados están altamente dirigidos y se centran en instituciones relacionadas con las finanzas en Asia, Europa y los Estados Unidos, lo que sugiere que la actividad está orientada a la generación de ingresos ilícitos para evadir las sanciones.

Lo que hace que la versión recién identificada sea notable es su mecanismo de persistencia inusual y el uso de dominio DNS dinámico (docsend.linkpc[.] net) para el mando y control, junto con la incorporación de medidas centradas en permanecer bajo el radar.

"En el caso de esta muestra actualizada de RUSTBUCKET, establece su propia persistencia agregando un archivo plist en la ruta /Users/<user>/Library/LaunchAgents/com.apple.systemupdate.plist, y copia el binario del malware a la siguiente ruta /Users/<user>/Library/Metadata/System Update", dijeron los investigadores.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta