RustDoor: шпион-диверсант для macOS, нацеленный на разработчиков

В сети обнаружен новый вид вредоносного ПО для macOS, распространяющийся под видом обновления для Microsoft Visual Studio. Этот макрос-бэкдор, написанный на языке программирования Rust, может работать как на архитектурах Intel (x86_64), так и на ARM (Apple Silicon).

Исследователи из компании Bitdefender, отслеживающие эту угрозу , назвали её «RustDoor». Сообщается, что операция по распространению бэкдора началась ещё в ноябре 2023 года и продолжается до сих пор.

Особое внимание привлекает возможная связь RustDoor с операциями по распространению вымогательского ПО, в частности с деятельностью известной группировки ALPHV/BlackCat.

Так, исследователи обнаружили, что вредоносное ПО общается с четырьмя C2-серверами, три из которых ранее использовались в атаках, потенциально связанных с действиями аффилированных с ALPHV/BlackCat злоумышленников. Тем не менее, специалисты подчёркивают, что этого недостаточно для однозначного утверждения о причастности RustDoor к определённому субъекту угроз.

Распространение RustDoor осуществляется в основном под видом обновления Visual Studio для Mac, интегрированной среды разработки от Microsoft, поддержка которой для macOS будет прекращена 31 августа этого года.

Вредоносное ПО поставляется под разными названиями и, по данным Bitdefender, активно распространялось в течение как минимум трёх месяцев, оставаясь при этом незамеченным.

RustDoor обладает возможностями бэкдора, позволяя контролировать заражённую систему и эксфильтровать данные. Для обеспечения постоянства на устройстве вредоносное ПО модифицирует системные файлы, используя задания Cron и LaunchAgents для планирования своего выполнения в определённые моменты или при входе пользователя в систему.

Кроме того, вредонос изменяет файл «~/.zshrc» для выполнения в новых терминальных сессиях или добавления в Dock с системными командами, что помогает ему маскироваться под легитимные приложения и действия пользователя.

Bitdefender обнаружил как минимум три варианта RustDoor, первый из которых был замечен в начале октября 2023 года. Следующий образец появился 22 ноября и, по всей видимости, был тестовой версией, предшествующей обновлённой версии, зафиксированной 30 ноября.

Последняя версия включает сложную JSON-конфигурацию, а также встроенный AppleScript, используемый для эксфильтрации файлов с определёнными расширениями.

В своём отчёте исследователи предоставили список известных индикаторов компрометации для RustDoor, включая бинарные файлы, домены для загрузки и URL четырёх C2-серверов управления и контроля.