Várias empresas que operam no setor de criptomoedas são claro de uma campanha contínua de malware que envolve um backdoor recém-descoberto do Apple macOS, codinome RustDoor.
RustDoor foi documentado pela primeira vez pelo Bitdefender na semana passada, descrevendo-o porquê um malware fundamentado em Rust capaz de coletar e fazer upload de arquivos, muito porquê coletar informações sobre as máquinas infectadas. Ele é distribuído disfarçando-se de atualização do Visual Studio.
Embora evidências anteriores tenham revelado pelo menos três variantes diferentes do backdoor, o mecanismo exato de propagação inicial permaneceu ignoto.
Dito isso, a empresa romena de segurança cibernética disse posteriormente ao The Hacker News que o malware foi usado porquê secção de um ataque direcionado, em vez de uma campanha de distribuição espingarda, observando que encontrou artefatos adicionais responsáveis por minguar e executar o RustDoor.
“Alguns desses downloaders de primeiro estágio afirmam ser arquivos PDF com ofertas de trabalho, mas, na veras, são scripts que baixam e executam o malware, ao mesmo tempo que baixam e abrem um registo PDF inofensivo que se autodenomina um convenção de confidencialidade”, Bogdan Botezatu, diretor de pesquisa e relatórios de ameaças na Bitdefender, disse.
Desde portanto, mais três amostras maliciosas que atuam porquê cargas úteis de primeiro estágio vieram à tona, cada uma delas pretendendo ser uma oferta de trabalho. Esses arquivos ZIP são anteriores aos binários RustDoor anteriores em quase um mês.
O novo componente da enxovia de ataque – ou seja, os arquivos (“Jobinfo.app.zip” ou “Jobinfo.zip”) – contém um script de shell fundamental responsável por buscar o implante de um site chamado turkishfurniture(.)blog. Ele também foi projetado para visualizar um registo PDF inofensivo (“job.pdf”) hospedado no mesmo site porquê uma distração.
A Bitdefender disse que também detectou quatro novos binários baseados em Golang que se comunicam com um domínio controlado por ator (“sarkerrentacars(.)com”), tal qual objetivo é “coletar informações sobre a máquina da vítima e suas conexões de rede usando os utilitários system_profiler e networksetup , que fazem secção do sistema operacional macOS.
Outrossim, os binários são capazes de extrair detalhes sobre o disco por meio de “diskutil list”, muito porquê restaurar uma ampla lista de parâmetros do kernel e valores de feição usando o comando “sysctl -a”.
Uma investigação mais detalhada da infraestrutura de comando e controle (C2) também revelou um endpoint com vazamento (“/client/bots”) que torna provável coletar detalhes sobre as vítimas atualmente infectadas, incluindo os carimbos de data e hora em que o host infectado foi registrado. e a última atividade foi observada.
“Sabemos que há pelo menos três empresas vítimas até agora”, disse Botezatu. “Os invasores parecem ter porquê claro a equipe sênior de engenharia – e isso explica por que o malware está osco porquê uma atualização do Visual Studio. Não sabemos se há alguma outra empresa comprometida neste momento, mas ainda estamos investigando isso”.
“Parece que as vítimas estão de facto geograficamente ligadas – duas das vítimas estão em Hong Kong, enquanto a outra está em Lagos, na Nigéria.”
O desenvolvimento ocorre no momento em que o Serviço Pátrio de Lucidez da Coreia do Sul (NIS) revela que uma organização de TI afiliada ao Gabinete nº 39 do Partido dos Trabalhadores da Coreia do Setentrião está gerando receitas ilícitas ao vender milhares de sites de jogos de contratempo com malware a outros cibercriminosos para roubar dados confidenciais. de jogadores desavisados.
A empresa por trás do esquema de malware porquê serviço (MaaS) é Gyeongheung (também conhecida porquê Gyonghung), uma entidade de 15 membros com sede em Dandong que supostamente recebeu US$ 5.000 de uma organização criminosa sul-coreana não identificada em troca da geração de um único site. e US$ 3.000 por mês para manutenção do site, informou a dependência de notícias Yonhap.
