RustDoor je novi macOS malver, napisan u programskom jeziku Rust i koji napada korisnike Apple macOS-a

 

Utvrđeno je da malver, nazvan RustDoor od strane Bitdefendera, oponaša ažuriranje za Microsoft Visual Studio i cilja na Intel i Arm arhitekturu.

Do danas je otkriveno više varijanti zlonamjernog softvera sa manjim modifikacijama, što vjerovatno ukazuje na aktivan razvoj. Najraniji uzorak RustDoor-a datira od 2. novembra 2023. godine.

Dolazi sa širokim spektrom naredbi koje mu omogućavaju prikupljanje i otpremanje datoteka, te prikupljanje informacija o ugroženoj krajnjoj tački.

Neke verzije takođe uključuju konfiguracije s detaljima o tome koje podatke treba prikupiti, popis ciljanih ekstenzija i direktorija te direktorije koje treba isključiti.

RustDoor se isporučuje pod više naziva:

  • „zshrc2“
  • „Previewers“
  • „VisualStudioUpdater“
  • „VisualStudioUpdater_Patch“
  • „VisualStudioUpdating“
  • „visualstudioupdate“
  • „DO_NOT_RUN_ChromeUpdates“

Istraživači kažu da RustDoor omogućava napadačima kontrolu nad kompromitovanim sistemom i eksfiltiranje podataka, i da može da opstane na uređaju modifikacijom sistemskih fajlova. On može da briše fajlove ili očisti svoje tragove, i da pauzira izvršenje komande za servera da bi izbjegao otkrivanje.

Pored toga, malver može da prekida procese drugih malvera i tako eliminiše konkurenciju ili oslobodi sistemske resurse. On prikazuje poruke ili upite korisniku zbog fišinga ili da bi izvršio komande sa korisničkim privilegijama. RustDoor zaustavljaju antivirusni softver na računaru i druge procese koji ga ometaju. Takođe može da preuzme dodatne komponente sa servera ili ažuriranja na zaraženi sistem i još mnogo toga.

 

ALPHV/BlackCat

 

Analizirajući RustDoor, analitičari malvera u Bitdefenderu otkrili su da malver komunicira sa četiri servera za komandu i kontolu (C2) od kojih su tri povezana sa napadima ransomware bande ALPHV/BlackCat. Međutim, istraživači ističu da ovo nije dovoljan dokaz da se sa RustDoor poveže sa određenom grupom. Međutim, ima indikatora koji ukazuju na moguću vezu sa flijalama BlackBasta i ALPHV/BlackCat ransomware-a.

„ALPHV/BlackCat je porodica ransomware-a (takođe napisana na Rustu), koja se prvi put pojavila u novembru 2021. godine i koja je bila pionir poslovnog modela za curenje informacija“, rekao je istraživač bezbjednosti Andrei Lapusneau.

U decembru 2023. američka vlada je objavila da je ukinula operaciju BlackCat ransomware-a i objavila alat za dešifriranje koji više od 500 pogođenih žrtava može koristiti da povrate pristup datotekama zaključanim zlonamjernim softverom.

Trebalo bi imati na umu da sajber kriminalci nemaju mnogo izbora u pogledu infrastrukture, i da su ograničeni na usluge hostovanja koje im obezbjeđuju anonimnost i odobravaju nezakonite aktivnosti, pa je uobičajeno da različite grupe koriste iste servere za napade.

(IT mixer)