(相關(guān)資料圖)
研究人員已經(jīng)揭開了蘋果macOS惡意軟件RustBucket更新版本的序幕,該版本具有改進的能力��,可以建立持久性并避免被安全軟件發(fā)現(xiàn)�。
安全實驗室的研究人員在本周發(fā)表的一份報告中表示:RustBucket的變種是一個針對macOS系統(tǒng)的惡意軟件集合,它增加了持久隱藏能力��,同時利用動態(tài)網(wǎng)絡基礎設施方法進行指揮和控制��。
該惡意軟件于2023年4月曝光�����,當時Jamf威脅實驗室將其描述為一個基于AppleScript的后門�����,能夠從遠程服務器檢索第二級有效載荷���。
第二階段的惡意軟件是用 Swift 編譯的,旨在從命令和控制 (C2) 服務器下載主要惡意軟件�,這是一種基于 Rust 的二進制文件,具有收集大量信息以及在受感染系統(tǒng)上獲取和運行其他 Mach-O 二進制文件或 shell 腳本的功能�����。
BlueNoroff惡意軟件是第一個專門針對macOS用戶的例子�����,現(xiàn)在.NET版本的RustBucket已經(jīng)以類似的功能在野外浮出水面。
感染鏈由一個macOS安裝文件組成��,該文件安裝了一個帶有后門但功能正常的PDF閱讀器����。當使用PDF閱讀器啟動PDF文件時,就會觸發(fā)惡意活動�。最初的入侵載體包括釣魚郵件,以及在LinkedIn等社交網(wǎng)絡上采用假的角色�����。
安全人員還觀察到該攻擊具有很強的針對性���,集中在亞洲���、歐洲和美國的金融相關(guān)機構(gòu),這也表明該惡意活動是以非法創(chuàng)收為目的��。
新發(fā)現(xiàn)的版本值得注意的是它不尋常的持久隱匿機制和使用動態(tài)DNS域名(docsend.linkpc[.net])進行指揮和控制�。
最后,研究人員表示,此次更新的RustBucket樣本中�����,通過在路徑/Users//Library/LaunchAgents/com.apple.systemupdate.plist添加一個plist文件來建立自己的持久性�,并且它將惡意軟件的二進制文件復制到以下路徑/Users//Library/Metadata/System Update。
