Logiciel malveillant RustBucket
Les experts en cybersécurité ont identifié une nouvelle forme de malware spécialement conçue pour cibler les appareils Apple exécutant macOS. Ce logiciel menaçant, connu sous le nom de RustBucket, est utilisé par un groupe de menaces persistantes avancées (APT) appelé BlueNoroff, qui serait étroitement lié ou peut-être même un sous-groupe du groupe notoire Lazarus .
Notamment, BlueNoroff a précédemment ciblé des systèmes Windows en utilisant des logiciels malveillants capables de contourner les protocoles de sécurité Mark-of-the-Web. Le logiciel malveillant macOS récemment découvert est déguisé en une application légitime de visualisation de PDF appelée "Internal PDF Viewer" qui semble fonctionner comme prévu. Cependant, en réalité, il s'agit d'un outil insidieux utilisé pour obtenir un accès non autorisé à des données sensibles sur des systèmes compromis. Les détails sur la menace ont été publiés par Jamf, une société de gestion d'appareils mobiles.
Table des matières
Le malware RustBucket macOS est livré en plusieurs étapes
Le malware RustBucket utilise une approche en plusieurs étapes pour infecter les appareils Mac ciblés. La première étape est une application non signée appelée "Internal PDF Viewer" qui, lors de son exécution, télécharge la deuxième étape du logiciel malveillant à partir d'un serveur Command-and-Control (C2).
La deuxième étape du logiciel malveillant porte le même nom - "Internal PDF Viewer", mais cette fois, il s'agit d'une application signée conçue pour ressembler à un identifiant de bundle Apple légitime (com.apple.pdfViewer) et a un ad-hoc signature. En divisant le logiciel malveillant en différentes étapes, les acteurs de la menace le rendent plus difficile à analyser, en particulier si le serveur C2 se déconnecte.
Un fichier PDF corrompu est le dernier élément de l’infection RustBucket
Cependant, même à ce stade, RustBucket n'activera aucune de ses capacités malveillantes. Afin d'activer avec succès sa véritable fonctionnalité sur l'appareil macOS piraté, un fichier PDF spécifique doit être ouvert. Ce fichier PDF corrompu est déguisé en un document de neuf pages censé contenir des informations sur les sociétés de capital-risque cherchant à investir dans des startups techniques.
En réalité, l'ouverture du fichier complètera la chaîne d'infection RustBucket en déclenchant l'exécution d'un cheval de Troie de 11,2 Mo également signé avec une signature ad-hoc et écrit en Rust. La menace de cheval de Troie peut exécuter diverses fonctions intrusives, telles que la reconnaissance du système en collectant des données système de base et en obtenant une liste des processus en cours d'exécution. La menace envoie également des données aux attaquants si elle s'exécute dans un environnement virtuel.
Les cybercriminels commencent à s’adapter à l’écosystème macOS
L'utilisation de logiciels malveillants par les cyber-attaquants met en évidence une tendance croissante dans laquelle le système d'exploitation macOS devient de plus en plus une cible pour la cybercriminalité. Cette tendance est motivée par le fait que les cybercriminels reconnaissent qu'ils doivent mettre à jour leurs outils et leurs tactiques pour inclure la plate-forme Apple. Cela signifie qu'un nombre important de victimes potentielles risquent d'être ciblées par des attaquants qui ont adapté leurs stratégies pour exploiter les vulnérabilités des systèmes macOS.
