Los investigadores han abierto el telón de una versión actualizada de un malware de Apple macOS llamado Cubo oxidado que viene con capacidades mejoradas para establecer la persistencia y evitar la detección por parte del software de seguridad.
«Esta variante de Rustbucket, una familia de malware que se dirige a los sistemas macOS, agrega capacidades de persistencia no observadas anteriormente», investigadores de Elastic Security Labs dicho en un informe publicado esta semana, agrega que está «aprovechando una metodología de infraestructura de red dinámica para comando y control».
RustBucket es obra de un actor de amenazas de Corea del Norte conocido como BlueNoroff, que forma parte de un conjunto de intrusos más grande rastreado con el nombre de Lazarus Group, una unidad de piratería de élite supervisada por la Oficina General de Reconocimiento (RGB), la principal agencia de inteligencia del país.
El malware salió a la luz en abril de 2023, cuando Jamf Threat Labs lo describió como una puerta trasera basada en AppleScript capaz de recuperar una carga útil de segunda etapa desde un servidor remoto. Elastic está monitoreando la actividad como REF9135.
El malware de segunda etapa, compilado en Swift, está diseñado para descargar del servidor de comando y control (C2) el malware principal, un binario basado en Rust con funciones para recopilar información extensa, así como para obtener y ejecutar Mach-O adicional. binarios o scripts de shell en el sistema comprometido.
Es la primera instancia del malware BlueNoroff dirigido específicamente a usuarios de macOS, aunque desde entonces ha aparecido una versión .NET de RustBucket con un conjunto similar de características.
«Esta actividad reciente de Bluenoroff ilustra cómo los conjuntos de intrusos recurren al lenguaje multiplataforma en sus esfuerzos de desarrollo de malware, ampliando aún más sus capacidades y es muy probable que amplíen su victimología», dijo la empresa francesa de ciberseguridad Sekoia. dicho en un análisis de la campaña RustBucket a fines de mayo de 2023.
La cadena de infección consiste en un archivo de instalación de macOS que instala un lector de PDF con puerta trasera, pero funcional. Un aspecto importante de los ataques es que la actividad maliciosa se activa solo cuando se inicia un archivo PDF armado utilizando el lector de PDF falso. El vector de intrusión inicial incluye correos electrónicos de phishing, así como el empleo de personas falsas en redes sociales como LinkedIn.
Los ataques observados están muy dirigidos y centrados en instituciones relacionadas con las finanzas en Asia, Europa y los EE. UU., lo que sugiere que la actividad está orientada a la generación de ingresos ilícitos para evadir sanciones.
¿Qué hace que el versión recién identificada notable es su inusual mecanismo de persistencia y el uso de dominio DNS dinámico (docsend.linkpc[.]net) para comando y control, además de incorporar medidas enfocadas en permanecer bajo el radar.
«En el caso de esta muestra actualizada de RUSTBUCKET, establece su propia persistencia agregando un archivo plist en la ruta /Users/