Αρκετές εταιρείες που δραστηριοποιούνται στον τομέα των κρυπτονομισμάτων είναι ο στόχος ενός νεόυ backdoor MacOS της Apple με την ονομασία RustDoor.
Το RustDoor τεκμηριώθηκε για πρώτη φορά από το Bitdefender την περασμένη εβδομάδα, περιγράφοντάς το ως κακόβουλο λογισμικό που βασίζεται στο Rust, ικανό να συλλέγει και να ανεβάζει αρχεία, καθώς και να συλλέγει πληροφορίες σχετικά με τα μολυσμένα μηχανήματα. Διανέμεται μεταμφιέζοντας τον εαυτό του ως ενημέρωση του Visual Studio.
Διαβάστε ακόμη: RustDoor: Νέο backdoor στοχεύει macOS συστήματα
Παρά τα προηγούμενα στοιχεία που αποκάλυψαν τουλάχιστον τρεις διαφορετικές παραλλαγές του backdoor, ο ακριβής αρχικός μηχανισμός διάδοσης παρέμεινε άγνωστος.
Μετά από αυτή την αναφορά, η ρουμανική εταιρεία κυβερνοασφάλειας δήλωσε στο The Hacker News ότι το κακόβουλο λογισμικό χρησιμοποιήθηκε ως μέρος μιας στοχευμένης επίθεσης, και όχι ως μέρος μιας ολόκληρης εκστρατείας. Επιπλέον, παρατηρήθηκε ότι βρέθηκαν πρόσθετες τεχνικές που ήταν υπεύθυνες για τη λήψη και εκτέλεση του RustDoor.
“Κάποια από αυτά τα προγράμματα πρώτου σταδίου ισχυρίζονται ότι πρόκειται για αρχεία PDF με ευκαιρίες εργασίας, αλλά στην πραγματικότητα είναι κακόβουλο λογισμικό που κατεβάζει και εκτελεί σενάρια. Επιπλέον, κατεβάζουν και ανοίγουν ένα αθώο αρχείο PDF που περιέχει ένα συμφωνητικό εμπιστευτικότητας”, δήλωσε ο Bogdan Botezatu, διευθυντής έρευνας και αναφοράς απειλών στο Bitdefender.
Από τότε, έχουν ανακαλυφθεί ακόμη τρία κακόβουλα δείγματα που λειτουργούν ως πρώτα στάδια επιθετικών φορτίων. Κάθε ένα από αυτά τα ZIP αρχεία θεωρείται προσφορά εργασίας, ενώ οι προηγούμενες δυαδικές αρχές του RustDoor έχουν προηγηθεί κατά σχεδόν ένα μήνα.
Το νέο στοιχείο της αλυσίδας επίθεσης – δηλαδή τα αρχεία αρχειοθέτησης (“Jobinfo.app.zip” ή “Jobinfo.zip”) – περιλαμβάνει ένα βασικό shell script που αναλαμβάνει την εξαγωγή του πληροφορίες από τον ιστότοπο Turkishfurniture[.]blog. Επιπλέον, έχει σχεδιαστεί για να προβάλλει το ακίνδυνο αρχείο PDF αποπλάνησης (“job.pdf”) που φιλοξενείται στον ίδιο ιστότοπο ως ένας τρόπος να κερδίσει την προσοχή.
Η εταιρεία Bitdefender ανέφερε ότι ανιχνεύθηκαν τέσσερα νέα δυαδικά αρχεία που βασίζονται στο Golang και επικοινωνούν με έναν τομέα που ελέγχεται από χάκερς (“sarkerrentacars[.]com”). Ο σκοπός αυτών των αρχείων είναι να συλλέγουν πληροφορίες σχετικά με τον υπολογιστή του θύματος και τις δικτυακές συνδέσεις του, χρησιμοποιώντας τα εργαλεία system_profiler και networksetup που αποτελούν μέρος του λειτουργικού συστήματος macOS.
Δείτε επίσης: Οι Ρώσοι hackers Turla στοχεύουν ΜΚΟ με το νέο TinyTurla-NG backdoor
Επιπλέον, τα δυαδικά αρχεία μπορούν να παρέχουν λεπτομερείς πληροφορίες μέσω της εντολής “diskutil list”. Επιπλέον, μπορούν να ανακτήσουν μια ευρεία γκάμα παραμέτρων πυρήνα και τιμών διαμόρφωσης με τη χρήση της εντολής “sysctl -a”.
Με μια πιο προσεκτική ανάλυση της δομής εντολών και ελέγχου (C2), ανακαλύψαμε επίσης μια διαρροή στο τελικό σημείο (“/client/bots”) που επιτρέπει τη συλλογή λεπτομερειών σχετικά με τα τρέχοντα θύματα, συμπεριλαμβανομένων των χρονικών στιγμών καταγραφής στον μολυσμένο κεντρικό υπολογιστή και καταγράφηκε η τελευταία δραστηριότητα.
Οι εξελίξεις είναι πολλές, καθώς η Εθνική Υπηρεσία Πληροφοριών της Νότιας Κορέας (NIS) αποκάλυψε ότι μια οργάνωση πληροφορικής, συνδεδεμένη με το Γραφείο Νο. 39 του Εργατικού Κόμματος της Βόρειας Κορέας, δημιουργεί παράνομα έσοδα μέσω της πώλησης χιλιάδων ιστότοπων τυχερών παιχνιδιών. Αυτοί οι ιστότοποι περιέχουν κακόβουλο λογισμικό το οποίο χρησιμοποιείται από άλλους εγκληματίες του κυβερνοχώρου για την κλοπή ευαίσθητων δεδομένων από ανυποψίαστους τζογαδόρους.
Η εταιρεία που βρίσκεται πίσω από το πρόγραμμα malware-as-a-service (MaaS) είναι η Gyeongheung (επίσης γνωστή ως Gyonghung), μια ομάδα 15 ατόμων με έδρα το Dandong. Υποτίθεται ότι έλαβε 5.000 $ από μια άγνωστη εγκληματική οργάνωση στη Νότια Κορέα, με αντάλλαγμα τη δημιουργία ενός ενιαίου ιστότοπου, καθώς και 3.000 $ τον μήνα για τη συντήρηση του ιστότοπου, σύμφωνα με το ειδησεογραφικό πρακτορείο Yonhap.
Διαβάστε σχετικά: Το DSLog backdoor εγκαθίσταται μέσω ευπάθειας SSRF στο Ivanti
Πηγή: thehackernews.com
