Пользователи macOS атакует новый бэкдор на основе Rust, который активен как минимум с ноября 2023 года, по данным аналитиков Bitdefender. Вредонос маскируется под обновления для Microsoft Visual Studio и нацелен на архитектуры Intel и Arm.
Как именно малварь, получившая название RustDoor, проникает в системы жертв пока неизвестно. Судя по всему, вредонос распространяется в виде бинарных файлов FAT, содержащих файлы Mach-O, и выдает себя за обновления Visual Studio. Специалисты Bitdefender отмечают, что конфигурационный файл RustDoor содержит опции, позволяющие малвари маскироваться и под другие приложения, а также кастомизировать фейковое окно для ввода пароля администратора.
На данный момент обнаружено несколько версий малвари с незначительными модификациями, то есть, вероятно, RustDoor находится в активной разработке. Самый ранний образец датирован 2 ноября 2023 года.
Бэкдор использует задания Cron и LaunchAgents для планирования своего выполнения в определенное время или при входе пользователя в систему, то есть может «пережить» перезагрузку системы.
RustDoor способен выполнять широкий спектр команд, позволяющих собирать и похищать файлы из системы жертвы, а также воровать данные о самой скомпрометированной системе. При этом некоторые версии малвари содержат конфигурацию с подробным описанием того, какие именно данные нужно украсть, список целевых расширений и каталогов (например, искать определенные документы в Documents и Desktop), а также каталоги, следует исключить.
Собранная информация складывается в скрытую папку, сжимается в архив ZIP перед отправкой, а затем передается на управляющий сервер для генерации ID жертвы, который затем используется для дальнейших коммуникаций с бэкдором.
Исследователи полагают, что вредоносная программа может быть связана с такими известными семействами вымогательского ПО, как Black Basta и BlackCat (ALPHV), из-за совпадений в управляющей инфраструктуре.