Los usuarios de Apple macOS son el objetivo de una nueva puerta trasera basada en Rust que ha estado operando desapercibida desde noviembre de 2023.
La puerta de atrás, nombre en clave ÓxidoPuerta de Bitdefender, se hace pasar por una actualización para Microsoft Visual Studio y apunta a arquitecturas Intel y Arm.
Actualmente se desconoce la vía de acceso inicial exacta utilizada para propagar el implante, aunque se dice que se distribuye como archivos binarios FAT que contienen archivos Mach-O.
Hasta la fecha se han detectado múltiples variantes del malware con modificaciones menores, lo que probablemente indica un desarrollo activo. La muestra más antigua de RustDoor se remonta al 2 de noviembre de 2023.
Viene con una amplia gama de comandos que le permiten recopilar y cargar archivos, y recopilar información sobre el punto final comprometido.
Algunas versiones también incluyen configuraciones con detalles sobre qué datos recopilar, la lista de extensiones y directorios específicos y los directorios que se excluirán.
La información capturada luego se extrae a un servidor de comando y control (C2).
La empresa rumana de ciberseguridad dijo que el malware probablemente esté vinculado a familias de ransomware destacadas como Black Basta y BlackCat debido a superposiciones en la infraestructura C2.
“ALPHV/BlackCat es una familia de ransomware (también escrita en Rust), que apareció por primera vez en noviembre de 2021 y que ha sido pionera en el modelo de negocio de filtraciones públicas”, dijo el investigador de seguridad Andrei Lapusneau.
En diciembre de 2023, el gobierno de EE. UU. anunció que desmanteló la operación de ransomware BlackCat y lanzó una herramienta de descifrado que más de 500 víctimas afectadas pueden utilizar para recuperar el acceso a los archivos bloqueados por el malware.