Alcuni ricercatori hanno svelato una versione aggiornata di un malware per macOS chiamato RustBucket, sviluppato da Apple, che presenta capacità migliorate di stabilire persistenza ed evitare la rilevazione da parte dei software di sicurezza.
“Questa variante di RustBucket, una famiglia di malware che mira ai sistemi macOS, aggiunge capacità di persistenza mai osservate in precedenza“, hanno affermato i ricercatori di Elastic Security Labs in un rapporto pubblicato questa settimana, aggiungendo che il malware sfrutta “una metodologia di infrastruttura di rete dinamica per il comando e il controllo“.
RustBucket è opera di un hacker (o un gruppo) nordcoreano noto come BlueNoroff, che fa parte di un insieme di intrusioni più ampio identificato con il nome Lazarus Group, un’unità di hacking d’elite supervisionata dal Reconnaissance General Bureau (RGB), l’agenzia di intelligence principale del paese.
Il malware è apparso nell’aprile 2023, quando Jamf Threat Labs lo ha descritto come un backdoor basato su AppleScript in grado di recuperare un payload di secondo stadio da un server remoto. Elastic sta monitorando l’attività come REF9135.
Il malware di secondo stadio, compilato in Swift, è progettato per scaricare dal server di comando e controllo (C2) il malware principale, un binario basato su Rust con funzionalità per raccogliere informazioni dettagliate e recuperare ed eseguire altri binari Mach-O o script shell sul sistema compromesso.
Si tratta del primo caso di malware BlueNoroff rivolto specificamente agli utenti di macOS, anche se è emersa successivamente una versione .NET di RustBucket con un set di funzionalità simile.
“Questa recente attività di Bluenoroff illustra come gli insiemi di intrusioni si rivolgano a linguaggi multipiattaforma nello sviluppo dei loro malware, ampliando ulteriormente le loro capacità e molto probabilmente ampliando anche la loro vittimologia“, ha affermato la società francese di sicurezza informatica Sekoia in un’analisi della campagna RustBucket alla fine di maggio 2023.
La catena di infezione è composta da un file di installazione per macOS che installa un lettore di PDF con backdoor, ma funzionante. Un aspetto significativo degli attacchi è che l’attività dannosa viene attivata solo quando viene avviato un file PDF manipolato utilizzando il lettore di PDF fraudolento. Il vettore di intrusione iniziale include email di phishing, così come l’uso di false identità su social network come LinkedIn.
Dove colpisce prevalentemente RustBucket?
Gli attacchi osservati sono altamente mirati e concentrati su istituzioni finanziarie in Asia, Europa e negli Stati Uniti, il che suggerisce che l’attività sia finalizzata alla generazione di ricavi illeciti per eludere le sanzioni.
Ciò che rende questa nuova versione identificata particolare è il suo meccanismo di persistenza insolito e l’uso di un dominio DNS dinamico (docsend.linkpc[.]net) per il comando e il controllo, insieme all’adozione di misure volte a rimanere sotto il radar.
“Nel caso di questo campione aggiornato di RustBucket, esso stabilisce la propria persistenza aggiungendo un file plist al percorso /Users/<user>/Library/LaunchAgents/com.apple.systemupdate.plist, e copia il binario del malware al seguente percorso /Users/<user>/Library/Metadata/System Update“, hanno dichiarato i ricercatori.
In conclusione
In conclusione, l’aggiornamento del malware RustBucket rivela un’evoluzione delle capacità e delle tattiche utilizzate dai gruppi di minacce informatiche, in particolare dal BlueNoroff che sembrerebbe essere “imparentato” col Lazarus Group.
La sua capacità di stabilire persistenza e sfuggire alla rilevazione evidenzia una crescente sofisticazione nella progettazione dei malware per macOS. Le istituzioni finanziarie sono i principali obiettivi di questi attacchi altamente mirati, indicando un obiettivo di generazione di ricavi illeciti per eludere le sanzioni.
Questo evidenzia l’importanza della sicurezza informatica e della consapevolezza degli utenti per proteggere i propri sistemi da tali minacce sempre più avanzate.
C’è da dire poi che, come nella controparte Windows, può tornare utile un buon antimalware, Malwarebytes ad esempio c’è anche per MacOS.
