(相關(guān)資料圖)
研究人員已經(jīng)揭開了蘋果macOS惡意軟件RustBucket更新版本的序幕���,該版本具有改進的能力,可以建立持久性并避免被安全軟件發(fā)現(xiàn)��。
安全實驗室的研究人員在本周發(fā)表的一份報告中表示:RustBucket的變種是一個針對macOS系統(tǒng)的惡意軟件集合��,它增加了持久隱藏能力��,同時利用動態(tài)網(wǎng)絡(luò)基礎(chǔ)設(shè)施方法進行指揮和控制�。
該惡意軟件于2023年4月曝光�����,當(dāng)時Jamf威脅實驗室將其描述為一個基于AppleScript的后門,能夠從遠(yuǎn)程服務(wù)器檢索第二級有效載荷�。
第二階段的惡意軟件是用 Swift 編譯的,旨在從命令和控制 (C2) 服務(wù)器下載主要惡意軟件����,這是一種基于 Rust 的二進制文件,具有收集大量信息以及在受感染系統(tǒng)上獲取和運行其他 Mach-O 二進制文件或 shell 腳本的功能�。
BlueNoroff惡意軟件是第一個專門針對macOS用戶的例子,現(xiàn)在.NET版本的RustBucket已經(jīng)以類似的功能在野外浮出水面�����。
感染鏈由一個macOS安裝文件組成�����,該文件安裝了一個帶有后門但功能正常的PDF閱讀器�����。當(dāng)使用PDF閱讀器啟動PDF文件時�,就會觸發(fā)惡意活動。最初的入侵載體包括釣魚郵件�����,以及在LinkedIn等社交網(wǎng)絡(luò)上采用假的角色。
安全人員還觀察到該攻擊具有很強的針對性��,集中在亞洲�、歐洲和美國的金融相關(guān)機構(gòu),這也表明該惡意活動是以非法創(chuàng)收為目的�。
新發(fā)現(xiàn)的版本值得注意的是它不尋常的持久隱匿機制和使用動態(tài)DNS域名(docsend.linkpc[.net])進行指揮和控制。
最后���,研究人員表示��,此次更新的RustBucket樣本中�,通過在路徑/Users//Library/LaunchAgents/com.apple.systemupdate.plist添加一個plist文件來建立自己的持久性����,并且它將惡意軟件的二進制文件復(fù)制到以下路徑/Users//Library/Metadata/System Update。
