Un nouveau malware macOS basé sur Rust se propageant sous la forme d’une mise à jour de Visual Studio pour fournir un accès par porte dérobée aux systèmes compromis utilise une infrastructure liée au tristement célèbre gang de ransomwares ALPHV/BlackCat.
La campagne de livraison de la porte dérobée a commencé depuis au moins novembre 2023 et est toujours en cours de distribution de nouvelles variantes du logiciel malveillant.
Écrit en Rust, le malware peut fonctionner sur des architectures Intel (x86_64) et ARM (Apple Silicon), selon des chercheurs de la société de cybersécurité Bitdefender, qui le suivent sous le nom de RustDoor.
Lien potentiel avec les opérations de ransomware
Lors de l’analyse de RustDoor, les chercheurs en logiciels malveillants de Bitdefender ont découvert que le logiciel malveillant communiquait avec quatre serveurs de commande et de contrôle (C2).
En examinant les données de renseignement sur les menaces, les analystes ont découvert que trois d’entre elles avaient été utilisées dans des attaques potentiellement liées à des attaques de ransomware d’une filiale ALPHV/BlackCat.
Cependant, les chercheurs soulignent qu’il ne s’agit pas de preuves suffisantes pour lier en toute confiance l’utilisation de RustDoor à un acteur de menace particulier et que « les artefacts et les IOC [indicateurs de compromission] suggèrent une relation possible avec les opérateurs de ransomware BlackBasta et ALPHV/BlackCat. »
Les cybercriminels ayant moins de liberté dans le choix de leur infrastructure et étant limités à des services d’hébergement qui fournissent l’anonymat et tolèrent les activités illégales, il est courant que plusieurs acteurs de la menace utilisent les mêmes serveurs pour des attaques.
Bien qu’il existe des chiffrements pour le système macOS, des versions pour Apple M1 de LockBit créées avant décembre 2022, il n’y a actuellement aucun rapport public faisant état d’un ransomware attaquant le système d’exploitation d’Apple.
La plupart des opérations ciblent les systèmes Windows et Linux car les environnements d’entreprise utilisent des serveurs exécutant ces systèmes d’exploitation.
Détails de distribution
RustDoor est distribué principalement en tant que programme de mise à jour pour Visual Studio pour Mac, l’environnement de développement intégré (IDE) de Microsoft pour la plate-forme macOS, qui sera abandonné cette année le 31 août.
La porte dérobée macOS est livrée sous plusieurs noms, notamment « zshrc2 », « Aperçus », « VisualStudioUpdater », « VisualStudioUpdater_Patch », « VisualStudioUpdating », « visualstudioupdate » et « DO_NOT_RUN_ChromeUpdates ».
Selon Bitdefender, le malware est sous distribution active et n’a pas été détecté depuis au moins trois mois.
Les chercheurs ont découvert trois versions du malware, qui se présentent sous la forme de binaires FAT qui incluent des fichiers Mach-O pour les architectures Intel et ARM x86_64, mais ne sont pas regroupés dans des fichiers parents typiques tels que des ensembles d’applications ou une image disque.
Bitdefender affirme que cette méthode de distribution atypique réduit l’empreinte numérique de la campagne et la probabilité que les produits de sécurité signalent la porte dérobée comme suspecte.
Capacités de porte dérobée
Dans un rapport publié cette semaine, les chercheurs affirment que RustDoor dispose de commandes pour contrôler le système compromis et pour exfiltrer les données, et qu’il peut persister sur l’appareil en modifiant les fichiers système.
Après avoir infecté un système, le logiciel malveillant communique avec les serveurs de commande et de contrôle (C2) à l’aide de points de terminaison spécifiques pour l’enregistrement, l’exécution des tâches et l’exfiltration des données.
Les commandes prises en charge par le logiciel malveillant sont les suivantes:
- ps: Répertorie les processus en cours d’exécution, utiles pour surveiller l’activité du système.
- shell: Exécute des commandes shell arbitraires, donnant aux attaquants un contrôle direct.
- cd: Change le répertoire courant, permettant la navigation dans le système de fichiers.
- mkdir: Crée un nouveau répertoire, utile pour organiser les données volées ou les composants malveillants.
- rm: Supprime les fichiers, potentiellement pour supprimer des fichiers importants ou nettoyer les traces du malware.
- rmdir: Supprime les répertoires, similaire à rm mais pour les répertoires.
- veille: Suspend l’exécution pendant une durée définie, éventuellement pour échapper à la détection ou synchroniser les actions.
- upload: Envoie des fichiers vers un serveur distant, utilisé pour exfiltrer les données volées.
- botkill: Met fin à d’autres processus malveillants, éventuellement pour éliminer la concurrence ou libérer des ressources système.
- dialogue: Affiche des messages ou des invites à l’utilisateur, potentiellement pour le phishing ou pour exécuter des commandes avec des privilèges utilisateur.
- taskkill: Termine des processus spécifiés, utiles pour arrêter les logiciels de sécurité ou d’autres processus interférant avec les logiciels malveillants.
- téléchargement: Récupère les fichiers d’un serveur distant, utilisés pour apporter des composants malveillants supplémentaires ou des mises à jour sur le système infecté.
La porte dérobée utilise des tâches Cron et des agents de lancement pour planifier son exécution à des moments précis ou lorsque l’utilisateur se connecte, s’assurant ainsi qu’elle survit aux redémarrages du système.
De plus, il modifie le ~/.fichier zshrc à exécuter dans de nouvelles sessions de terminal ou à l’ajouter au Dock avec des commandes système, ce qui l’aide à se fondre dans les applications légitimes et les activités des utilisateurs.
Bitdefender note qu’il existe au moins trois variantes de Rust Door, la plus ancienne vue depuis début octobre 2023.
La suivante a été vue le 22 novembre et semblait être une version de test qui précédait une version mise à jour observée le 30 novembre, qui inclut « une configuration JSON complexe ainsi qu’un script Apple intégré utilisé pour l’exfiltration » de fichiers avec des extensions spécifiques.
Les chercheurs fournissent une liste d’indicateurs connus de compromission pour Rust Door, qui comprend des binaires, des domaines de téléchargement et des URL pour les quatre serveurs de commande et de contrôle découverts.