Evoluzione inquietante: il malware Rustbucket si aggiorna

In una recente rivelazione, i ricercatori hanno svelato una versione migliorata di un malware Apple macOS chiamato Rustbucket. Questa variante aggiornata presenta capacità superiori che ne rafforzano la persistenza sui sistemi infetti e gli consentono di eludere il rilevamento da parte degli strumenti di sicurezza. La famiglia di malware Rustbucket, specificamente progettata per prendere di mira i sistemi macOS, dimostra ora le nuove competenze di persistenza osservate. Secondo Elastic Security Labs, il malware utilizza una sofisticata infrastruttura di rete per il suo processo di comando e controllo, offrendo un livello di complessità senza precedenti.

Nato da un'idea degli hacker nordcoreani

Rustbucket risale a BlueNoroff, un attore di minacce nordcoreano collegato al più ampio quadro di intrusioni noto come Lazarus Group. Questo gruppo d'élite di cyber hacking opera sotto la supervisione del Reconnaissance General Bureau (RGB), la principale agenzia di intelligence della Corea del Nord. L'esposizione iniziale del malware si è verificata nell'aprile 2023 quando Jamf Threat Labs lo ha identificato come una backdoor basata su AppleScript. Questa backdoor è in grado di ottenere un payload di seconda fase da un server remoto. Il malware di secondo stadio compilato da Swift è strutturato per scaricare il principale malware binario basato su Rust dal server di comando e controllo, vantando la capacità di estrarre informazioni sostanziali ed eseguire ulteriori binari Mach-O o script di shell sul sistema violato.

Il malware multipiattaforma e i suoi obiettivi in espansione

Sebbene Rustbucket abbia inizialmente preso di mira gli utenti macOS, da allora è stata rilevata una versione .NET simile. Questa tendenza dimostra come attori delle minacce come BlueNoroff stiano diversificando i loro sforzi utilizzando linguaggi multipiattaforma per aumentare le loro capacità di sviluppo di malware. Come evidenziato dalla società francese di sicurezza informatica Sekoia, ciò indica una probabile espansione della popolazione delle vittime. Il malware si propaga tramite un file di installazione di macOS che inserisce un lettore PDF compromesso, sebbene funzionante. Il processo dannoso viene attivato solo quando si accede a un file PDF armato tramite il lettore manipolato. I principali metodi di violazione iniziale includono e-mail di phishing e identità fabbricate su social network come LinkedIn. In particolare, questi attacchi sono particolarmente mirati alle istituzioni finanziarie in Asia, Europa e Stati Uniti, suggerendo l'intento di generare entrate illecite e eludere le sanzioni.

Persistenza e furtività: le caratteristiche degne di nota del nuovo Rustbucket

La caratteristica distintiva di questa versione aggiornata di Rustbucket è il suo metodo di persistenza unico, insieme all'uso del dominio DNS dinamico (docsend.linkpc[.]net) per comando e controllo, integrato da misure per non essere rilevato. L'esempio avanzato di Rustbucket assicura la sua persistenza aggiungendo un file plist al percorso /Utenti/<utente>/Library/LaunchAgents/com.apple.systemupdate.plist, copiando contemporaneamente il binario del malware in /Utenti/<utente>/Libreria/ Metadati/Aggiornamento del sistema. Questo nuovo livello di sofisticazione evidenzia il panorama sempre più impegnativo della sicurezza informatica e la necessità di una vigilanza e di aggiornamenti costanti nelle misure di protezione.