RustDoor je novi macOS malver, napisan u programskom jeziku Rust i koji napada korisnike Apple macOS-a
Utvrđeno je da malver, nazvan RustDoor od strane Bitdefendera, oponaša ažuriranje za Microsoft Visual Studio i cilja na Intel i Arm arhitekturu.
Do danas je otkriveno više varijanti zlonamjernog softvera sa manjim modifikacijama, što vjerovatno ukazuje na aktivan razvoj. Najraniji uzorak RustDoor-a datira od 2. novembra 2023. godine.
Dolazi sa širokim spektrom naredbi koje mu omogućavaju prikupljanje i otpremanje datoteka, te prikupljanje informacija o ugroženoj krajnjoj tački.
Neke verzije takođe uključuju konfiguracije s detaljima o tome koje podatke treba prikupiti, popis ciljanih ekstenzija i direktorija te direktorije koje treba isključiti.
RustDoor se isporučuje pod više naziva:
- „zshrc2“
- „Previewers“
- „VisualStudioUpdater“
- „VisualStudioUpdater_Patch“
- „VisualStudioUpdating“
- „visualstudioupdate“
- „DO_NOT_RUN_ChromeUpdates“
Istraživači kažu da RustDoor omogućava napadačima kontrolu nad kompromitovanim sistemom i eksfiltiranje podataka, i da može da opstane na uređaju modifikacijom sistemskih fajlova. On može da briše fajlove ili očisti svoje tragove, i da pauzira izvršenje komande za servera da bi izbjegao otkrivanje.
Pored toga, malver može da prekida procese drugih malvera i tako eliminiše konkurenciju ili oslobodi sistemske resurse. On prikazuje poruke ili upite korisniku zbog fišinga ili da bi izvršio komande sa korisničkim privilegijama. RustDoor zaustavljaju antivirusni softver na računaru i druge procese koji ga ometaju. Takođe može da preuzme dodatne komponente sa servera ili ažuriranja na zaraženi sistem i još mnogo toga.
ALPHV/BlackCat
Analizirajući RustDoor, analitičari malvera u Bitdefenderu otkrili su da malver komunicira sa četiri servera za komandu i kontolu (C2) od kojih su tri povezana sa napadima ransomware bande ALPHV/BlackCat. Međutim, istraživači ističu da ovo nije dovoljan dokaz da se sa RustDoor poveže sa određenom grupom. Međutim, ima indikatora koji ukazuju na moguću vezu sa flijalama BlackBasta i ALPHV/BlackCat ransomware-a.
„ALPHV/BlackCat je porodica ransomware-a (takođe napisana na Rustu), koja se prvi put pojavila u novembru 2021. godine i koja je bila pionir poslovnog modela za curenje informacija“, rekao je istraživač bezbjednosti Andrei Lapusneau.
U decembru 2023. američka vlada je objavila da je ukinula operaciju BlackCat ransomware-a i objavila alat za dešifriranje koji više od 500 pogođenih žrtava može koristiti da povrate pristup datotekama zaključanim zlonamjernim softverom.
Trebalo bi imati na umu da sajber kriminalci nemaju mnogo izbora u pogledu infrastrukture, i da su ograničeni na usluge hostovanja koje im obezbjeđuju anonimnost i odobravaju nezakonite aktivnosti, pa je uobičajeno da različite grupe koriste iste servere za napade.
(IT mixer)
