Porte dérobée RustDoor

Une porte dérobée macOS récemment découverte, codée dans Rust, a été liée aux groupes de ransomwares bien connus Black Basta et Alphv/BlackCat. Nommé RustDoor, le malware se présente comme Visual Studio prenant en charge les architectures Intel et Arm et circule depuis novembre 2023, réussissant à échapper à la détection pendant plusieurs mois.

Les chercheurs ont identifié différentes versions de RustDoor, toutes partageant la même fonctionnalité de porte dérobée avec des différences mineures. Ces variantes prennent toutes en charge une gamme de commandes pour la collecte et l'exfiltration de fichiers, ainsi que pour la collecte d'informations sur l'appareil infecté. Les données collectées sont ensuite transmises à un serveur de commande et de contrôle (C&C), où un identifiant de victime est généré et utilisé dans les communications ultérieures.

La porte dérobée RustDoor a fait évoluer ses capacités dangereuses

La version initiale de RustDoor Backdoor, détectée en novembre 2023, semble avoir fonctionné comme une version test. Il lui manquait un mécanisme de persistance complet et comportait un fichier plist « test ».

La deuxième variante, qui aurait fait surface un mois plus tard, contenait des fichiers plus volumineux et incluait une configuration JSON sophistiquée et un script Apple conçu pour exfiltrer des documents spécifiques des dossiers Documents et Bureau et des notes de l'utilisateur.

Une fois établi sur des systèmes compromis, le malware copie les documents et données ciblés dans un dossier caché, les compresse dans une archive ZIP puis les transmet au serveur de commande et de contrôle (C&C). Certaines configurations spécifient des instructions de collecte de données, telles que la taille et le nombre maximum de fichiers, des listes d'extensions et de répertoires ciblés ou des répertoires à exclure. Les chercheurs ont également découvert que le fichier de configuration de RustDoor permet l'usurpation d'identité de différentes applications, avec des options permettant de personnaliser une boîte de dialogue de mot de passe administrateur usurpé.

La configuration JSON fait référence à quatre mécanismes de persistance, utilisant des tâches cron, des LaunchAgents (entraînant une exécution lors de la connexion), modifiant un fichier pour garantir l'exécution à l'ouverture d'une nouvelle session ZSH et ajoutant le binaire au dock.

Une troisième variante de porte dérobée a été découverte, et elle semble être la version originale. Il lui manque la complexité, le script Apple et la configuration intégrée présents dans d'autres variantes de RustDoor.

Le malware utilise trois serveurs C&C précédemment liés aux campagnes Black Basta et Alphv/BlackCat Ransomware. BlackCat, le premier ransomware de cryptage de fichiers dans le langage de programmation Rust, est apparu en 2021 et a été démantelé en décembre 2023.

Les attaques de logiciels malveillants par porte dérobée peuvent avoir de graves répercussions sur les victimes

La présence de logiciels malveillants par porte dérobée sur les appareils des utilisateurs présente des dangers importants et variés, car ils accordent un accès non autorisé à des acteurs malveillants. Voici quelques dangers potentiels associés à l’infection des appareils des utilisateurs par des logiciels malveillants de porte dérobée :

• Accès et contrôle non autorisés : les portes dérobées fournissent un point d'entrée secret aux attaquants, leur permettant d'accéder sans autorisation à l'appareil infecté. Une fois à l’intérieur, ils peuvent prendre le contrôle de diverses fonctions, manipuler des fichiers et exécuter des commandes à l’insu ou sans le consentement de l’utilisateur.
• Vol et exfiltration de données : les portes dérobées permettent souvent le vol et l'exfiltration de données sensibles stockées sur l'appareil compromis. Les attaquants peuvent accéder à des informations personnelles, des données financières, des identifiants de connexion et d'autres données confidentielles, ce qui peut entraîner un vol d'identité, une perte financière ou des violations de la vie privée.
• Espionnage et surveillance : les logiciels malveillants de porte dérobée sont généralement associés aux activités d'espionnage. Les attaquants peuvent utiliser la porte dérobée pour espionner les utilisateurs, surveiller leurs activités, capturer des captures d'écran, enregistrer les frappes au clavier et même accéder aux webcams ou aux microphones, compromettant ainsi la confidentialité des utilisateurs.
• Déploiement de ransomwares : les portes dérobées sont parfois utilisées comme passerelle pour le déploiement de ransomwares. Une fois que les attaquants accèdent via une porte dérobée, ils peuvent crypter les fichiers de l'utilisateur et exiger une rançon pour leur libération, provoquant ainsi des perturbations et des pertes financières importantes.
• Manipulation et perturbation du système : les portes dérobées peuvent permettre aux attaquants de manipuler les paramètres du système, de perturber les opérations normales ou même de désactiver les mesures de sécurité. Cela peut finir par entraîner une instabilité du système et des pannes et rendre difficile pour les utilisateurs d'utiliser efficacement leurs appareils.
• Propagation et propagation du réseau : certaines portes dérobées ont des capacités d'auto-réplication, leur permettant de se propager sur les réseaux et d'infecter d'autres appareils. Cela peut entraîner la compromission de réseaux entiers, affectant plusieurs utilisateurs et organisations.
• Sécurité réseau compromise : les portes dérobées peuvent être utilisées pour contourner les mesures de sécurité réseau, permettant ainsi aux attaquants d'infiltrer plus facilement des réseaux organisationnels plus larges. Cela peut entraîner des failles de sécurité supplémentaires et compromettre l’intégrité des informations sensibles de l’entreprise ou du gouvernement.

Pour atténuer ces risques, il est essentiel que les utilisateurs adoptent des mesures de cybersécurité robustes, notamment des mises à jour régulières des logiciels, l'utilisation de programmes antivirus réputés et l'adoption de comportements en ligne sûrs pour éviter d'être victimes d'attaques de logiciels malveillants par porte dérobée. De plus, les organisations doivent mettre en œuvre des protocoles de sécurité réseau solides pour détecter et gérer rapidement les menaces potentielles.