Plusieurs entreprises opérant dans le secteur des crypto-monnaies sont la cible d’une porte dérobée Apple macOS récemment découverte nommée Porte Rouille.
RustDoor a été documenté pour la première fois par Bitdefender la semaine dernière, le décrivant comme un malware basé sur Rust capable de collecter et de télécharger des fichiers, ainsi que de collecter des informations sur les machines infectées. Il est distribué en se faisant passer pour une mise à jour de Visual Studio.
Bien que des preuves antérieures aient révélé au moins trois variantes différentes de la porte dérobée, le mécanisme de propagation initial exact restait inconnu.
Cela dit, la société roumaine de cybersécurité a ensuite déclaré à The Hacker News que le malware avait été utilisé dans le cadre d’une attaque ciblée plutôt que d’une campagne de distribution de fusil de chasse, notant qu’elle avait trouvé des artefacts supplémentaires responsables du téléchargement et de l’exécution de RustDoor.
« Certains de ces premiers téléchargeurs prétendent être des fichiers PDF contenant des offres d’emploi, mais en réalité, ce sont des scripts qui téléchargent et exécutent le malware tout en téléchargeant et en ouvrant un fichier PDF inoffensif qui se présente comme un accord de confidentialité », Bogdan Botezatu, directeur. de recherche et de reporting sur les menaces chez Bitdefender, a déclaré.
Depuis lors, trois autres échantillons malveillants agissant comme des charges utiles de première étape ont été découverts, chacun prétendant être une offre d’emploi. Ces archives ZIP sont antérieures de près d’un mois aux précédents binaires RustDoor.
Le nouveau composant de la chaîne d’attaque – c’est-à-dire les fichiers d’archive (« Jobinfo.app.zip » ou « Jobinfo.zip ») – contient un script shell de base chargé de récupérer l’implant sur un site Web nommé turkishfurniture.[.]Blog. Il est également conçu pour prévisualiser un fichier PDF leurre inoffensif (« job.pdf ») hébergé sur le même site comme distraction.
Bitdefender dit il a également détecté quatre nouveaux binaires basés sur Golang qui communiquent avec un domaine contrôlé par un acteur (« sarkerrentacars[.]com »), dont le but est de « collecter des informations sur la machine de la victime et ses connexions réseau à l’aide des utilitaires system_profiler et networksetup, qui font partie du système d’exploitation macOS.
De plus, les binaires sont capables d’extraire des détails sur le disque via « diskutil list » ainsi que de récupérer une large liste de paramètres du noyau et de valeurs de configuration à l’aide de la commande « sysctl -a ».
Une enquête plus approfondie de l’infrastructure de commande et de contrôle (C2) a également révélé une fuite de point de terminaison (« /client/bots ») qui permet de glaner des détails sur les victimes actuellement infectées, y compris l’horodatage de l’enregistrement de l’hôte infecté. et la dernière activité a été observée.
Cette évolution intervient alors que le National Intelligence Service (NIS) de Corée du Sud révélé qu’une organisation informatique affiliée au bureau n° 39 du Parti des travailleurs de Corée du Nord génère des revenus illicites en vente des milliers de sites Web de jeux d’argent contenant des logiciels malveillants à d’autres cybercriminels pour voler des données sensibles à des joueurs sans méfiance.
La société à l’origine du programme MaaS (malware-as-a-service) est Gyeongheung (également orthographié Gyonghung), une entité de 15 membres basée à Dandong qui aurait reçu 5 000 $ d’une organisation criminelle sud-coréenne non identifiée en échange de la création d’un site Web unique. et 3 000 dollars par mois pour la maintenance du site Web, agence de presse Yonhap signalé.