Les utilisateurs d’Apple macOS sont la cible d’une nouvelle porte dérobée basée sur Rust qui opère sous le radar depuis novembre 2023.
La porte de derrière, nom de code Porte Rouille par Bitdefender, s’est avéré usurper l’identité d’une mise à jour pour Microsoft Visual Studio et cibler à la fois les architectures Intel et Arm.
La voie d’accès initiale exacte utilisée pour propager l’implant n’est actuellement pas connue, bien qu’il soit distribué sous forme de binaires FAT contenant des fichiers Mach-O.
Plusieurs variantes du logiciel malveillant avec des modifications mineures ont été détectées à ce jour, ce qui indique probablement un développement actif. Le premier échantillon de RustDoor remonte au 2 novembre 2023.
Il est livré avec un large éventail de commandes qui lui permettent de rassembler et de télécharger des fichiers, ainsi que de récolter des informations sur le point final compromis.
Certaines versions incluent également des configurations avec des détails sur les données à collecter, la liste des extensions et répertoires ciblés et les répertoires à exclure.
Les informations capturées sont ensuite exfiltrées vers un serveur de commande et de contrôle (C2).
La société roumaine de cybersécurité a déclaré que le malware était probablement lié à d’importantes familles de ransomwares comme Black Basta et BlackCat en raison de chevauchements dans l’infrastructure C2.
« ALPHV/BlackCat est une famille de ransomwares (également écrite en Rust), qui a fait son apparition en novembre 2021 et qui a été pionnière dans le modèle économique des fuites publiques », a déclaré le chercheur en sécurité Andrei Lapusneau.
En décembre 2023, le gouvernement américain a annoncé qu’il avait mis fin à l’opération du ransomware BlackCat et publié un outil de décryptage que plus de 500 victimes concernées peuvent utiliser pour retrouver l’accès aux fichiers verrouillés par le malware.