Los expertos en seguridad han advertido que los dispositivos Apple están siendo atacados con una nueva variante de malware que se hace pasar por un visor de PDF macOS falso.
Investigadores de ciberseguridad de Jamf Threat Labs han publicado un informe en el que detallan un nuevo malware para Apple macOS (se abre en una pestaña nueva) cepa denominada RustBucket.
RustBucket es esencialmente un cargador, que se utiliza para entregar malware de etapa dos a los puntos finales de destino. Se distribuye con el nombre de archivo «Visor interno de PDF» y, aunque los investigadores no discuten los canales de distribución, es seguro asumir que se envía a través de correos electrónicos de phishing y sitios web maliciosos.
Ataque en tres etapas
La advertencia con RustBucket es que para que funcione, la víctima debe anular manualmente las protecciones de Gatekeeper. Si lo hacen, corren el riesgo de obtener una carga útil de segunda etapa, escrita en Objective-C que, a su vez, entrega la carga útil final: el ejecutable Mach-O escrito en Rust. Este malware, dijeron los investigadores, puede ejecutar comandos de reconocimiento del sistema.
«Esta técnica de visualización de PDF utilizada por el atacante es inteligente», dijeron los investigadores. «En este punto, para realizar el análisis, no solo necesitamos el malware de etapa dos, sino que también requerimos el archivo PDF correcto que funciona como clave para ejecutar el código malicioso dentro de la aplicación».
El actor de amenazas detrás de esta campaña se llama BlueNoroff, a veces también conocido como APT28, Nickel Gladstone, Sapphire Sleet, Stardust Chollima o TA444.
En realidad, el grupo es parte del Grupo Lazarus, un infame actor de amenazas patrocinado por el estado de Corea del Norte. Lazarus es uno de los actores de amenazas más conocidos del mundo responsable, entre otras cosas, del ataque al puente Harmony que ocurrió en junio de 2022. Ese ataque contra el popular negocio de las criptomonedas resultó en el robo de unos $100 millones en varias criptomonedas.
Lazarus también estuvo detrás de un ataque al puente Ronin que tuvo lugar a principios de 2022, donde el grupo robó $625 millones en varias criptomonedas.
Vía: The Hacker News (se abre en una pestaña nueva)