89 подписчиков
Исследователи из Elastic Security Labs обнаружили новую версию зловреда RustBucket, атакующего компьютеры под управлением macOS. По их словам, теперь ее стало сложнее как обнаружить, так и удалить с машины жертвы.
Чтобы заразить свое устройство, жертве сначала нужно загрузить и запустить установочный файл, который предоставляет функциональную, но вредоносную программу для чтения PDF. Ну а всё веселье начнется при попытке открытия любого файла PDF. Обычно злоумышленники пытаются распространить эту версию либо через фишинговые электронные письма, либо через каналы социальных сетей — тот же LinkedIn.
После успешного заражения RustBucket устанавливает plist-файл по пути...
/Users/<user>/Library/LaunchAgents/com.apple.systemupdate.plist
...и копирует файл вредоносной программы в...
/Users/<user>/Library/Metadata/System Update
О широком распространении RustBucket пока речь не идет, вместо этого злоумышленники прицельно атакуют сотрудников финансовых учреждений США и Азии. Все улики указывают на то, что субъектом угроз является BlueNoroff — подразделение группы Lazarus. Последняя входит в состав Главного разведывательного бюро (ГРБ) Северной Кореи.
Группа наиболее известна тем, что совершила несколько невероятно прибыльных атак на криптовалютные предприятия, которые принесли ей сотни миллионов долларов за счет кражи и выкупа. В конце июня 2023 года Казначейство США сообщило, что в этом году Lazarus украл у финансовых учреждений и бирж около 600 миллионов долларов в криптовалюте.
"Появление RustBucket подчеркивает меняющийся ландшафт киберугроз и необходимость усиления мер кибербезопасности, особенно в среде macOS", - говорит исследователь кибербезопасности Дэвид Сехён Бэк (David Sehyeon Baek). "Пользователи должны сохранять осторожность при загрузке и выполнении приложений из непроверенных источников, не допуская обхода настроек безопасности Gatekeeper без надлежащего обоснования".
1 минута
4 июля 2023