Nueva puerta trasera para MacOs
- Actualidad
No documentada con anterioridad, Trojan.MAC.RustDoor está escrita en Rust y muestra un posible vínculo con el grupo de ransomware de Windows.
La firma de ciberseguridad Bitdefender ha descubierto a Trojan.MAC.RustDoor, una nueva puerta trasera dirigida a los usuarios de MacOS. Esta familia de malware no documentada anteriormente está escrita en Rust y podría mantener un vínculo con el grupo de ransomware de Windows.
Tras el descubrimiento, Bitdefender ha publicado una investigación con las principales conclusiones entre las que destaca que la puerta trasera está escrita en Rust, un lenguaje de programación relativamente nuevo en el ecosistema del malware, pero que puede dar a sus autores una ventaja a la hora de evadir la detección y el análisis.
En este sentido, el análisis de los binarios revela los nombres de los archivos fuente originales. La sintaxis y la semántica de Rust difieren de las de lenguajes más comunes como C o Python, lo que dificulta que los investigadores de seguridad analicen y detecten códigos maliciosos.
Los expertos señalan que, aunque no se puede atribuir con seguridad esta campaña a un actor de amenazas conocido, se han observado ciertas similitudes entre esta campaña y el ransomware ALPHV/BlackCat (uso de dominios comunes como infraestructura de mando y control). En concreto, tres de los cuatro servidores de mando y control se han asociado previamente con campañas de ransomware dirigidas a clientes de Windows.
De acuerdo con la información facilitada, dicho malware puede utilizarse para robar archivos o tipos de archivos específicos, archivarlos y subirlos al centro de mando y control. Se trata de una campaña activa que parece remontarse a noviembre de 2023, y ya se han podido identificar muestras históricas con la evolución del malware.
La investigación también presenta los Indicadores de Compromiso conocidos en la actualidad para que las empresas y los profesionales puedan añadirlos a las soluciones de seguridad existentes o llevar a cabo su propia investigación.
La puerta trasera parece hacerse pasar por una actualización de Visual Studio y todos los archivos identificados se distribuyen directamente como FATbinarios con Mach-Oarchivos para ambas x86_64 Intel y arquitecturas ARM, y parece que ninguno de los archivos tiene otros padres (paquetes de aplicaciones, imágenes de disco).