Varias empresas que operan en el sector de las criptomonedas son el objetivo de una campaña de malware en curso que involucra una puerta trasera de Apple macOS recientemente descubierta con el nombre en código RustDoor.
RustDoor fue documentado por primera vez por Bitdefender la semana pasada, describiéndolo como un malware basado en Rust capaz de recolectar y cargar archivos, así como de recopilar información sobre las máquinas infectadas. Se distribuye haciéndose pasar por una actualización de Visual Studio.
Si bien la evidencia anterior descubrió al menos tres variantes diferentes de la puerta trasera, el mecanismo de propagación inicial exacto seguía siendo desconocido.
Dicho esto, la empresa rumana de ciberseguridad le dijo posteriormente a The Hacker News que el malware se utilizó como parte de un ataque dirigido en lugar de una campaña de distribución de escopeta, y señaló que encontró artefactos adicionales que son responsables de descargar y ejecutar RustDoor.
«Algunos de estos descargadores de primera etapa afirman ser archivos PDF con ofertas de trabajo, pero en realidad son scripts que descargan y ejecutan el malware mientras también descargan y abren un archivo PDF inofensivo que se anuncia como un acuerdo de confidencialidad», Bogdan Botezatu, director de investigación e informes de amenazas en Bitdefender, dijo.
Desde entonces, han salido a la luz tres muestras maliciosas más que actúan como cargas útiles de primera etapa, cada una de las cuales pretende ser una oferta de trabajo. Estos archivos ZIP son casi un mes anteriores a los binarios anteriores de RustDoor.
El nuevo componente de la cadena de ataque, es decir, los archivos («Jobinfo.app.zip» o «Jobinfo.zip»), contiene un script de shell básico que es responsable de recuperar el implante de un sitio web llamado turkishfurniture.[.]Blog. También está diseñado para obtener una vista previa de un archivo PDF señuelo inofensivo («job.pdf») alojado en el mismo sitio como distracción.
Bitdefender dicho También detectó cuatro nuevos binarios basados en Golang que se comunican con un dominio controlado por el actor («sarkerrentacars[.]com»), cuyo propósito es «recopilar información sobre la máquina de la víctima y sus conexiones de red utilizando las utilidades system_profiler y networksetup, que forman parte del sistema operativo macOS.
Además, los binarios son capaces de extraer detalles sobre el disco a través de la «lista diskutil», así como recuperar una amplia lista de parámetros del kernel y valores de configuración usando el comando «sysctl -a».
Una investigación más detallada de la infraestructura de comando y control (C2) también ha revelado un punto final con fugas («/client/bots») que permite obtener detalles sobre las víctimas actualmente infectadas, incluidas las marcas de tiempo en las que se registró el host infectado. y se observó la última actividad.
«Sabemos que hasta ahora hay al menos tres empresas víctimas», dijo Botezatu. «Los atacantes parecen apuntar al personal de ingeniería superior, y esto explica por qué el malware está disfrazado como una actualización de Visual Studio. No sabemos si hay otras empresas comprometidas en este momento, pero todavía estamos investigando esto».
«Parece que las víctimas están efectivamente vinculadas geográficamente: dos de las víctimas están en Hong Kong, mientras que la otra está en Lagos, Nigeria».
El desarrollo se produce cuando el Servicio de Inteligencia Nacional (NIS) de Corea del Sur reveló que una organización de TI afiliada a la Oficina No. 39 del Partido de los Trabajadores de Corea del Norte está generando ingresos ilícitos mediante venta miles de sitios web de juegos de azar plagados de malware a otros ciberdelincuentes para robar datos confidenciales de jugadores desprevenidos.
La empresa detrás del esquema de malware como servicio (MaaS) es Gyeongheung (también escrito Gyonghung), una entidad de 15 miembros con sede en Dandong que supuestamente recibió 5.000 dólares de una organización criminal surcoreana no identificada a cambio de crear un único sitio web. y 3.000 dólares al mes para el mantenimiento del sitio web, Agencia de Noticias Yonhap reportado.