Verschillende bedrijven die actief zijn in de cryptocurrency-sector zijn het doelwit van een nieuw ontdekte Apple macOS-achterdeur met de codenaam RoestDeur.
RustDoor werd vorige week voor het eerst gedocumenteerd door Bitdefender en beschreef het als een op Rust gebaseerde malware die in staat is om bestanden te verzamelen en te uploaden, en om informatie te verzamelen over de geïnfecteerde machines. Het wordt verspreid door zichzelf voor te doen als een Visual Studio-update.
Hoewel eerder bewijsmateriaal ten minste drie verschillende varianten van de achterdeur aan het licht bracht, bleef het exacte initiële verspreidingsmechanisme onbekend.
Dat gezegd hebbende, vertelde het Roemeense cyberbeveiligingsbedrijf vervolgens aan The Hacker News dat de malware werd gebruikt als onderdeel van een gerichte aanval in plaats van als een shotgun-distributiecampagne, en merkte op dat het aanvullende artefacten vond die verantwoordelijk zijn voor het downloaden en uitvoeren van RustDoor.
“Sommige van deze eerste fase downloaders beweren pdf-bestanden met vacatures te zijn, maar in werkelijkheid zijn het scripts die de malware downloaden en uitvoeren, terwijl ze ook een onschadelijk pdf-bestand downloaden en openen dat zichzelf bestempelt als een vertrouwelijkheidsovereenkomst”, zegt Bogdan Botezatu, directeur van bedreigingsonderzoek en -rapportage bij Bitdefender, aldus.
Sindsdien zijn er nog drie kwaadaardige voorbeelden aan het licht gekomen die fungeren als payloads in de eerste fase, die allemaal beweren een baanaanbieding te zijn. Deze ZIP-archieven dateren bijna een maand ouder dan de eerdere RustDoor-binaire bestanden.
Het nieuwe onderdeel van de aanvalsketen – dat wil zeggen de archiefbestanden (“Jobinfo.app.zip” of “Jobinfo.zip”) – bevat een basisshellscript dat verantwoordelijk is voor het ophalen van het implantaat van een website met de naam turkishfurniture[.]bloggen. Het is ook ontworpen om een onschadelijk lok-PDF-bestand (“job.pdf”), dat op dezelfde site wordt gehost, als afleiding te bekijken.
Bitdefender zei dat het ook vier nieuwe op Golang gebaseerde binaire bestanden heeft gedetecteerd die communiceren met een door een acteur gecontroleerd domein (“sarkerrentacars[.]com”), waarvan het doel is “informatie te verzamelen over de machine van het slachtoffer en zijn netwerkverbindingen met behulp van de system_profiler en netwerksetup-hulpprogramma’s, die deel uitmaken van het macOS-besturingssysteem.
Bovendien zijn de binaire bestanden in staat om details over de schijf te extraheren via “diskutil list” en om een brede lijst met kernelparameters en configuratiewaarden op te halen met behulp van de opdracht “sysctl -a”.
Een nader onderzoek van de command-and-control (C2)-infrastructuur heeft ook een lekkend eindpunt (“/client/bots”) aan het licht gebracht dat het mogelijk maakt om details te verzamelen over de momenteel geïnfecteerde slachtoffers, inclusief de tijdstempels waarop de geïnfecteerde host werd geregistreerd en de laatste activiteit werd waargenomen.
De ontwikkeling komt op het moment dat de Nationale Inlichtingendienst (NIS) van Zuid-Korea heeft onthuld dat een IT-organisatie die is aangesloten bij kantoor nr. 39 van de Arbeiderspartij van Noord-Korea illegale inkomsten genereert door duizenden gokwebsites met malware te verkopen aan andere cybercriminelen voor het stelen van gevoelige gegevens. van nietsvermoedende gokkers.
Het bedrijf achter het Malware-as-a-Service (MaaS)-programma is Gyeongheung (ook wel gespeld als Gyonghung), een entiteit met 15 leden, gevestigd in Dandong, die naar verluidt $ 5.000 heeft ontvangen van een onbekende Zuid-Koreaanse criminele organisatie in ruil voor het maken van een enkele website. en $ 3.000 per maand voor het onderhouden van de website, meldde Yonhap News Agency.
