RustDoor macOS Backdoor dirigido a empresas de criptomonedas

Varias empresas que operan en el sector de las criptomonedas son el objetivo de una campaña de malware en curso que involucra una puerta trasera de Apple macOS recién descubierta con nombre en código RustDoor.

RustDoor fue documentado por primera vez por Bitdefender la semana pasada, describiéndolo como un malware basado en Rust capaz de recolectar y cargar archivos, así como recopilar información sobre las máquinas infectadas. Se distribuye haciéndose pasar por una actualización de Visual Studio.

Si bien la evidencia anterior descubrió al menos tres variantes diferentes de la puerta trasera, el mecanismo de propagación inicial exacto seguía siendo desconocido.

Dicho esto, la firma rumana de ciberseguridad dijo posteriormente a The Hacker News que el malware se utilizó como parte de un ataque dirigido en lugar de una campaña de distribución de escopeta, señalando que encontró artefactos adicionales que son responsables de descargar y ejecutar RustDoor.

"Algunos de estos descargadores de primera etapa afirman ser archivos PDF con ofertas de trabajo, pero en realidad, son scripts que descargan y ejecutan el malware al mismo tiempo que descargan y abren un archivo PDF inocuo que se anuncia a sí mismo como un acuerdo de confidencialidad", dijo Bogdan Botezatu, director de investigación e informes de amenazas de Bitdefender.

Desde entonces, han salido a la luz otras tres muestras maliciosas que actúan como cargas útiles de primera etapa, cada una de las cuales pretende ser una oferta de trabajo. Estos archivos ZIP son anteriores a los binarios anteriores de RustDoor por casi un mes.

El nuevo componente de la cadena de ataque, es decir, los archivos de almacenamiento ("Jobinfo.app.zip" o "Jobinfo.zip"), contiene un script de shell básico que es responsable de obtener el implante de un sitio web llamado turkishfurniture[.] blog. También está diseñado para obtener una vista previa de un archivo PDF señuelo inofensivo ("job.pdf") alojado en el mismo sitio como distracción.


Bitdefender dijo que también detectó cuatro nuevos binarios basados en Golang que se comunican con un dominio controlado por actores ("sarkerrentacars[.] com"), cuyo propósito es "recopilar información sobre la máquina de la víctima y sus conexiones de red utilizando las utilidades system_profiler y networksetup, que forman parte del sistema operativo macOS.

Además, los binarios son capaces de extraer detalles sobre el disco a través de "diskutil list", así como recuperar una amplia lista de parámetros del kernel y valores de configuración utilizando el comando "sysctl -a".

Una investigación más detallada de la infraestructura de comando y control (C2) también ha revelado un punto final con fugas ("/client/bots") que permite obtener detalles sobre las víctimas actualmente infectadas, incluidas las marcas de tiempo en las que se registró el host infectado y se observó la última actividad.

"Sabemos que hay al menos tres empresas víctimas hasta ahora", dijo Botezatu. "Los atacantes parecen apuntar al personal de ingeniería sénior, y esto explica por qué el malware se disfraza como una actualización de Visual Studio. No sabemos si hay otras empresas comprometidas en este momento, pero todavía estamos investigando esto".

"Parece que las víctimas están geográficamente vinculadas: dos de las víctimas están en Hong Kong, mientras que la otra está en Lagos, Nigeria".

El desarrollo se produce cuando el Servicio Nacional de Inteligencia (NIS) de Corea del Sur reveló que una organización de TI afiliada a la Oficina No. 39 del Partido de los Trabajadores de Corea del Norte está generando ingresos ilícitos mediante la venta de miles de sitios web de juegos de azar con malware a otros ciberdelincuentes para robar datos confidenciales de jugadores desprevenidos.

La compañía detrás del esquema de malware como servicio (MaaS) es Gyeongheung (también escrito Gyonghung), una entidad de 15 miembros con sede en Dandong que supuestamente recibió $ 5,000 de una organización criminal surcoreana no identificada a cambio de crear un solo sitio web y $ 3,000 por mes para mantener el sitio web, informó la agencia de noticias Yonhap.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta