Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 3-4 июня на Форуме ITSEC 2025 (весна)
Регистрируйтесь и участвуйте!

RustDoor: шпион-диверсант для macOS, нацеленный на разработчиков

12/02/24

backdoor3-Feb-12-2024-11-02-45-3820-AM

В сети обнаружен новый вид вредоносного ПО для macOS, распространяющийся под видом обновления для Microsoft Visual Studio. Этот макрос-бэкдор, написанный на языке программирования  Rust, может работать как на архитектурах Intel (x86_64), так и на ARM (Apple Silicon).

Исследователи из компании Bitdefender, отслеживающие эту угрозу, назвали её «RustDoor», пишет Securitylab. Сообщается, что операция по распространению бэкдора началась ещё в ноябре 2023 года и продолжается до сих пор.

Особое внимание привлекает возможная связь RustDoor с операциями по распространению вымогательского ПО, в частности с деятельностью известной группировки ALPHV/BlackCat.

Так, исследователи обнаружили, что вредоносное ПО общается с четырьмя C2-серверами, три из которых ранее использовались в атаках, потенциально связанных с действиями аффилированных с ALPHV/BlackCat злоумышленников. Тем не менее, специалисты подчёркивают, что этого недостаточно для однозначного утверждения о причастности RustDoor к определённому субъекту угроз.

Распространение RustDoor осуществляется в основном под видом обновления Visual Studio для Mac, интегрированной среды разработки от Microsoft, поддержка которой для macOS будет прекращена 31 августа этого года.

Вредоносное ПО поставляется под разными названиями и, по данным Bitdefender, активно распространялось в течение как минимум трёх месяцев, оставаясь при этом незамеченным.

RustDoor обладает возможностями бэкдора, позволяя контролировать заражённую систему и эксфильтровать данные. Для обеспечения постоянства на устройстве вредоносное ПО модифицирует системные файлы, используя задания Cron и LaunchAgents для планирования своего выполнения в определённые моменты или при входе пользователя в систему.

Кроме того, вредонос изменяет файл «~/.zshrc» для выполнения в новых терминальных сессиях или добавления в Dock с системными командами, что помогает ему маскироваться под легитимные приложения и действия пользователя.

Bitdefender обнаружил как минимум три варианта RustDoor, первый из которых был замечен в начале октября 2023 года. Следующий образец появился 22 ноября и, по всей видимости, был тестовой версией, предшествующей обновлённой версии, зафиксированной 30 ноября.

Последняя версия включает сложную JSON-конфигурацию, а также встроенный AppleScript, используемый для эксфильтрации файлов с определёнными расширениями.

В своём отчёте исследователи предоставили список известных индикаторов компрометации для RustDoor, включая бинарные файлы, домены для загрузки и URL четырёх C2-серверов управления и контроля.

Темы:УгрозыmacOSBitdefenderбэкдоры
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 4 июня 2025 →
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 3-4 июня →

Еще темы...

More...