Gli utenti di Apple macOS sono il bersaglio di una nuova backdoor basata su Rust che è stata attiva sotto il radar dal novembre 2023; tale backdoor, è stata chiamata col nome in codice “RustDoor” da Bitdefender, ed è stata scoperta nel fingersi un aggiornamento per Microsoft Visual Studio e prende di mira le architetture Intel e Arm.
Cosa sappiamo della backdoor RustDoor
Attualmente non si conosce l’esatto percorso di accesso iniziale utilizzato per propagare l’impianto, anche se si dice che venga distribuito come binari FAT che contengono file Mach-O.
Diverse varianti del malware con modifiche minori sono state rilevate fino ad oggi, indicando probabilmente uno sviluppo attivo; il campione più vecchio della backdoor RustDoor risale al 2 novembre 2023.
Viene fornito con una vasta gamma di comandi che gli permettono di raccogliere e caricare file, nonché di raccogliere informazioni sull’endpoint compromesso.
Alcune versioni includono anche configurazioni con dettagli su quali dati raccogliere, l’elenco delle estensioni e delle directory bersaglio e le directory da escludere e le informazioni acquisite vengono quindi esfiltrate verso un server di comando e controllo (C2).
La società di sicurezza informatica rumena ha dichiarato che il malware è probabilmente collegato a famiglie di ransomware prominenti come Black Basta e BlackCat a causa di sovrapposizioni nell’infrastruttura C2 (comando e controllo).
“ALPHV/BlackCat è una famiglia di ransomware (anch’essa scritta in Rust), apparsa per la prima volta nel novembre 2021 e che ha introdotto il modello di business delle fughe pubbliche” ha dichiarato il ricercatore di sicurezza Andrei Lapusneau.
Nel dicembre 2023, il governo degli Stati Uniti ha annunciato di aver abbattuto l’operazione di ransomware BlackCat e ha rilasciato uno strumento di decrittazione che più di 500 vittime colpite possono utilizzare per ripristinare l’accesso ai file bloccati dal malware.
Casi simili a RustDoor
Questa non è la prima volta che utenti di sistemi operativi sono stati presi di mira da backdoor sofisticate simili a Rustdoor; altri casi simili includono attacchi contro piattaforme Windows e Linux, dove malware avanzati hanno sfruttato vulnerabilità nel sistema operativo per ottenere accesso non autorizzato.
Le minacce informatiche stanno diventando sempre più complesse e mirate, evidenziando l’importanza di mantenere costantemente aggiornati i software di sicurezza e di adottare pratiche di navigazione sicure.
Alcuni noti casi simili a RustDoor includono:
- Stuxnet (2010): Stuxnet è un worm informatico noto per aver attaccato sistemi SCADA (Supervisory Control and Data Acquisition) utilizzati nelle centrali nucleari e si è diffuso attraverso dispositivi USB e sfruttava vulnerabilità nei software di controllo industriale.
- WannaCry (2017): WannaCry è un ransomware che ha colpito sistemi Windows in tutto il mondo, sfruttando una vulnerabilità nota come EternalBlue e ha causato danni significativi e evidenziato l’importanza di mantenere i sistemi operativi aggiornati.
- NotPetya (2017): Originariamente camuffato da ransomware, NotPetya si è rivelato essere più un attacco di disturbo, causando danni considerevoli a imprese e infrastrutture in Ucraina e oltre e si è diffuso sfruttando diverse vulnerabilità.
- SolarWinds (2020): Un sofisticato attacco alla catena di approvvigionamento che ha compromesso il software di gestione delle reti SolarWinds; questo attacco ha colpito numerose agenzie governative e aziende, dimostrando l’efficacia delle minacce che si infiltrano attraverso fornitori di fiducia.
- Ryuk (2019): Ryuk è un ransomware noto per mirare specificamente a organizzazioni e aziende, chiedendo riscatti elevati; spesso si diffonde attraverso il phishing e sfrutta le debolezze nella sicurezza informatica.
Cosa fare in casi analoghi
In caso di sospetto di un’attività malevola o di compromissione della sicurezza, è essenziale adottare misure immediate; gli utenti devono isolare il dispositivo infetto dalla rete e interrompere l’utilizzo di credenziali sensibili su altri dispositivi.
È consigliabile contattare immediatamente un esperto di sicurezza informatica o un’azienda specializzata per condurre un’analisi dettagliata e rimuovere la minaccia; allo stesso tempo, informare le autorità competenti e monitorare attentamente le transazioni finanziarie per rilevare eventuali attività sospette.
Inoltre, l’adozione di buone pratiche di sicurezza, come l’installazione regolare di aggiornamenti di sistema, l’utilizzo di software antivirus affidabili e la prudenza nell’aprire allegati o cliccare su link sospetti, può ridurre significativamente il rischio di cadere vittima di tali minacce informatiche e ricorda che Malwarebytes, dato che si parla di macOS, esiste per l’appunto anche sui mac.
