Пользователи macOS атакует новый бэкдор на основе Rust, который активен как минимум с ноября 2023 года, по данным аналитиков Bitdefender. Вредонос маскируется под обновления для Microsoft Visual Studio и нацелен на архитектуры Intel и Arm.

Как именно малварь, получившая название RustDoor, проникает в системы жертв пока неизвестно. Судя по всему, вредонос распространяется в виде бинарных файлов FAT, содержащих файлы Mach-O, и выдает себя за обновления Visual Studio. Специалисты Bitdefender отмечают, что конфигурационный файл RustDoor содержит опции, позволяющие малвари маскироваться и под другие приложения, а также кастомизировать фейковое окно для ввода пароля администратора.

На данный момент обнаружено несколько версий малвари с незначительными модификациями, то есть, вероятно, RustDoor находится в активной разработке. Самый ранний образец датирован 2 ноября 2023 года.

Бэкдор использует задания Cron и LaunchAgents для планирования своего выполнения в определенное время или при входе пользователя в систему, то есть может «пережить» перезагрузку системы.

RustDoor способен выполнять широкий спектр команд, позволяющих собирать и похищать файлы из системы жертвы, а также воровать данные о самой скомпрометированной системе. При этом некоторые версии малвари содержат конфигурацию с подробным описанием того, какие именно данные нужно украсть, список целевых расширений и каталогов (например, искать определенные документы в Documents и Desktop), а также каталоги, следует исключить.

Собранная информация складывается в скрытую папку, сжимается в архив ZIP перед отправкой, а затем передается на управляющий сервер для генерации ID жертвы, который затем используется для дальнейших коммуникаций с бэкдором.

Исследователи полагают, что вредоносная программа может быть связана с такими известными семействами вымогательского ПО, как Black Basta и BlackCat (ALPHV), из-за совпадений в управляющей инфраструктуре.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии