Fuente: thehackernews.com – Autor: .
Varias empresas que operan en el sector de las criptomonedas son el objetivo de una puerta trasera de Apple macOS recientemente descubierta con nombre en código ÓxidoPuerta.
RustDoor fue documentado por primera vez por Bitdefender la semana pasada, describiéndolo como un malware basado en Rust capaz de recolectar y cargar archivos, así como de recopilar información sobre las máquinas infectadas. Se distribuye haciéndose pasar por una actualización de Visual Studio.
Si bien la evidencia anterior descubrió al menos tres variantes diferentes de la puerta trasera, el mecanismo de propagación inicial exacto seguía siendo desconocido.
Dicho esto, la empresa rumana de ciberseguridad le dijo posteriormente a The Hacker News que el malware se utilizó como parte de un ataque dirigido en lugar de una campaña de distribución de escopeta, y señaló que encontró artefactos adicionales que son responsables de descargar y ejecutar RustDoor.
“Algunos de estos descargadores de primera etapa afirman ser archivos PDF con ofertas de trabajo, pero en realidad son scripts que descargan y ejecutan el malware al mismo tiempo que descargan y abren un archivo PDF inocuo que se anuncia como un acuerdo de confidencialidad”, Bogdan Botezatu, director de investigación e informes de amenazas en Bitdefender, dijo.
Desde entonces, han salido a la luz tres muestras maliciosas más que actúan como cargas útiles de primera etapa, cada una de las cuales pretende ser una oferta de trabajo. Estos archivos ZIP son casi un mes anteriores a los binarios anteriores de RustDoor.
El nuevo componente de la cadena de ataque, es decir, los archivos (“Jobinfo.app.zip” o “Jobinfo.zip”), contiene un script de shell básico que es responsable de recuperar el implante de un sitio web llamado turkishfurniture.[.]Blog. También está diseñado para obtener una vista previa de un archivo PDF señuelo inofensivo (“job.pdf”) alojado en el mismo sitio como distracción.
Bitdefender dijo que también detectó cuatro nuevos binarios basados en Golang que se comunican con un dominio controlado por el actor (“sarkerrentacars[.]com”), cuyo propósito es “recopilar información sobre la máquina de la víctima y sus conexiones de red utilizando las utilidades system_profiler y networksetup, que forman parte del sistema operativo macOS.
Además, los binarios son capaces de extraer detalles sobre el disco a través de la “lista diskutil”, así como recuperar una amplia lista de parámetros del kernel y valores de configuración utilizando el comando “sysctl -a”.
Una investigación más detallada de la infraestructura de comando y control (C2) también reveló un punto final con fugas (“https://thehackernews.com/client/bots”) que permite obtener detalles sobre las víctimas actualmente infectadas, incluido el marcas de tiempo en las que se registró el host infectado y se observó la última actividad.
El desarrollo se produce cuando el Servicio Nacional de Inteligencia (NIS) de Corea del Sur reveló que una organización de TI afiliada a la Oficina No. 39 del Partido de los Trabajadores de Corea del Norte está generando ingresos ilícitos al vender miles de sitios web de juegos de azar con malware a otros ciberdelincuentes para robar datos confidenciales. de jugadores desprevenidos.
La empresa detrás del esquema de malware como servicio (MaaS) es Gyeongheung (también escrito Gyonghung), una entidad de 15 miembros con sede en Dandong que supuestamente recibió 5.000 dólares de una organización criminal surcoreana no identificada a cambio de crear un único sitio web. y 3.000 dólares al mes para el mantenimiento del sitio web, informó la Agencia de Noticias Yonhap.
¿Encontró interesante este artículo? Siga con nosotros Gorjeo y LinkedIn para leer más contenido exclusivo que publicamos.
URL de la publicación original: https://thehackernews.com/2024/02/rustdoor-macos-backdoor-targets.html
