Malware tersebut, yang dijuluki RustDoor , meniru identitas Visual Studio, mendukung arsitektur Intel dan Arm, dan tampaknya telah beredar sejak November 2023, dan tidak terdeteksi selama sekitar tiga bulan.
Bitdefender telah mengidentifikasi beberapa varian malware, semuanya berbagi fungsi pintu belakang yang sama, meskipun dengan sedikit variasi.
Semua sampel yang dianalisis mendukung berbagai perintah untuk mengambil dan mengekstrak file serta mengumpulkan detail tentang mesin yang terinfeksi. Informasi tersebut dikirim ke server perintah dan kontrol (C&C) untuk menghasilkan ID korban yang digunakan dalam komunikasi selanjutnya.
Varian pertama dari Backdoor, yang muncul pada November 2023, kemungkinan merupakan versi pengujian yang tidak memiliki mekanisme persistensi lengkap dan juga berisi file plist bernama 'test'.
Pertama kali terlihat pada akhir November, varian kedua memiliki file yang lebih besar dan berisi konfigurasi JSON yang kompleks dan skrip Apple untuk eksfiltrasi dokumen tertentu dari folder Dokumen dan Desktop, bersama dengan catatan pengguna.
Malware menyalin dokumen ke folder tersembunyi dan mengompresnya ke arsip ZIP sebelum mengirimnya ke server C&C.
Bitdefender menemukan bahwa file konfigurasi RustDoor berisi opsi untuk meniru aplikasi yang berbeda, dengan opsi untuk menyesuaikan dialog kata sandi administrator palsu.
“Beberapa konfigurasi juga menyertakan instruksi spesifik tentang data apa yang harus dikumpulkan, seperti ukuran maksimum dan jumlah maksimum file, serta daftar ekstensi dan direktori yang ditargetkan, atau direktori yang akan dikecualikan,” jelas Bitdefender.
Konfigurasi JSON juga mereferensikan empat mekanisme persistensi, menggunakan cronjobs, menggunakan LaunchAgents (menghasilkan eksekusi saat login), dengan memodifikasi file untuk memastikan eksekusi ketika sesi ZSH baru dibuka, dan dengan menambahkan biner ke dok.
Bitdefender juga mengidentifikasi varian ketiga dari pintu belakang, yang tampaknya merupakan varian asli. Pertama kali terlihat pada tanggal 2 November, tidak ada kerumitan, skrip Apple, dan konfigurasi yang disematkan.
RustDoor, kata Bitdefender, menggunakan tiga server C&C yang sebelumnya terkait dengan kampanye ransomware Black Basta dan Alphv/BlackCat . Pertama kali terlihat pada November 2021, BlackCat adalah ransomware enkripsi file pertama yang ditulis dalam bahasa pemrograman Rust. Itu dihapus pada bulan Desember 2023 .
Sumber:
https://www.securityweek.com/new-macos
-backdoor-linked-to-prominent-ransomware-groups/
Bitdefender telah mengidentifikasi beberapa varian malware, semuanya berbagi fungsi pintu belakang yang sama, meskipun dengan sedikit variasi.
Semua sampel yang dianalisis mendukung berbagai perintah untuk mengambil dan mengekstrak file serta mengumpulkan detail tentang mesin yang terinfeksi. Informasi tersebut dikirim ke server perintah dan kontrol (C&C) untuk menghasilkan ID korban yang digunakan dalam komunikasi selanjutnya.
Varian pertama dari Backdoor, yang muncul pada November 2023, kemungkinan merupakan versi pengujian yang tidak memiliki mekanisme persistensi lengkap dan juga berisi file plist bernama 'test'.
Pertama kali terlihat pada akhir November, varian kedua memiliki file yang lebih besar dan berisi konfigurasi JSON yang kompleks dan skrip Apple untuk eksfiltrasi dokumen tertentu dari folder Dokumen dan Desktop, bersama dengan catatan pengguna.
Malware menyalin dokumen ke folder tersembunyi dan mengompresnya ke arsip ZIP sebelum mengirimnya ke server C&C.
Bitdefender menemukan bahwa file konfigurasi RustDoor berisi opsi untuk meniru aplikasi yang berbeda, dengan opsi untuk menyesuaikan dialog kata sandi administrator palsu.
“Beberapa konfigurasi juga menyertakan instruksi spesifik tentang data apa yang harus dikumpulkan, seperti ukuran maksimum dan jumlah maksimum file, serta daftar ekstensi dan direktori yang ditargetkan, atau direktori yang akan dikecualikan,” jelas Bitdefender.
Konfigurasi JSON juga mereferensikan empat mekanisme persistensi, menggunakan cronjobs, menggunakan LaunchAgents (menghasilkan eksekusi saat login), dengan memodifikasi file untuk memastikan eksekusi ketika sesi ZSH baru dibuka, dan dengan menambahkan biner ke dok.
Bitdefender juga mengidentifikasi varian ketiga dari pintu belakang, yang tampaknya merupakan varian asli. Pertama kali terlihat pada tanggal 2 November, tidak ada kerumitan, skrip Apple, dan konfigurasi yang disematkan.
RustDoor, kata Bitdefender, menggunakan tiga server C&C yang sebelumnya terkait dengan kampanye ransomware Black Basta dan Alphv/BlackCat . Pertama kali terlihat pada November 2021, BlackCat adalah ransomware enkripsi file pertama yang ditulis dalam bahasa pemrograman Rust. Itu dihapus pada bulan Desember 2023 .
Sumber:
https://www.securityweek.com/new-macos
-backdoor-linked-to-prominent-ransomware-groups/