RustDoor: BackDoor de macOS relacionado a BlackCat y BlackBasta
Se ha descubierto un nuevo backdoor que ataca a usuarios de macOS. Este malware está escrito en Rust, y aunque la investigación aún está en curso, se ha publicado una alerta para compartir indicadores de compromiso con la comunidad. Esta amenaza es identificada como Trojan.MAC.RustDoor.*. Las primeras muestras del malware se remontan a principios de noviembre de 2023. La muestra más reciente se detectó el 2 de febrero de 2024, lo que indica que el malware ha estado operando sin ser detectado durante al menos tres meses. El análisis de las herramientas e indicadores de compromiso (IoCs) reveló una posible conexión con las operaciones de ransomware BlackBasta y ALPHV/BlackCat.
Características del Backdoor:
- Suplantación: El backdoor se presenta como una actualización de Visual Studio.
- Soporte Multiarquitectura: Funciona en arquitecturas Intel x86_64 y ARM.
- Persistencia: Puede modificar archivos del sistema para persistir en el dispositivo.
- Comando y control (C2): Se comunica con cuatro servidores de comando y control para recibir instrucciones y exfiltrar datos.
- Exfiltración de Datos: Capaz de recopilar y exfiltrar una variedad de datos, incluyendo:
- Archivos específicos con ciertas extensiones y tamaños.
- Notas del usuario almacenadas en formato SQLITE.
- Información de aplicaciones y del sistema.
- Robo de Credenciales: Puede suplantar la contraseña del administrador para obtener acceso a información confidencial.
- Variante 1: Detectada en noviembre de 2023, parece ser una versión de prueba sin mecanismo de persistencia.
- Variante 2: Detectada a finales de noviembre, incluye una configuración JSON compleja y un script de Apple incrustado para la exfiltración de datos.
- Variante Zero: Detectada el 2 de febrero de 2023, es menos compleja que las otras variantes y no incluye el script de Apple ni la configuración incrustada.
Recomendaciones
- Concientización y preparación de los empleados sobre los métodos de Phishing e Ingeniería social.
- Mantener los sistemas y el software de seguridad actualizados.
- Tener filtros de correo electrónico y spam.
- Revisar continuamente los privilegios de los usuarios.
- Auditar herramientas de acceso remoto.
- Revisar logs para de ejecución de software de acceso remoto.
- Limitar estrictamente el uso de RDP.
- Realizar copias de seguridad o backups constantemente, manteniéndolos en una ubicación segura.
- Utilizar una solución EDR (Endpoint Detection and Response).
Indicadores de compromiso
| Tipo | Indicador de compromiso | |
| Hash - MD5 | 6dd3a3e4951d34446fe1a5c7cdf39754 | VisualStudioUpdater_Patch |
| Hash - MD5 | 90a517c3dab8ceccf5f1a4c0f4932b1f | VisualStudioUpdater_Patch |
| Hash - MD5 | b67bba781e5cf006bd170a0850a9f2d0 | VisualStudioUpdating |
| Hash - MD5 | f5774aca722e0624daf67a2da5ec6967 | VisualStudioUpdater_Patch |
| Hash - MD5 | 52a9d67745f153465fac434546007d3a | Previewers |
| Hash - MD5 | 30b27b765878385161ca1ee71726a5c6 | DO_NOT_RUN_ChromeUpdates |
| Hash - MD5 | 1dbc26447c1eaa9076e65285c92f7859 | visualstudioupdate |
| Hash - MD5 | 05a8583f36599b5bc93fa3c349e89434 | VisualStudioUpdater |
| Hash - MD5 | 5d0c62da036bbe375cb10659de1929e3 | VisualStudioUpdater |
| Hash - MD5 | 68e0facbf541a2c014301346682ef9ca | VisualStudioUpdater |
| Hash - MD5 | b2bdd1d32983c35b3b1520d83d89d197 | zshrc2 |
| Hash - MD5 | 5fcc12eaba8185f9d0ddecafae8fd2d1 | zshrc2 |
| Hash - MD5 | 97cd4fc94c59121f903f2081df1c9981 | |
| Hash - MD5 | 28bdd46d8609512f95f1f1b93c79d277 | |
| Hash - MD5 | 3e23308d074d8bd4ffdb5e21e3aa8f22 | |
| Hash - MD5 | 088779125434ad77f846731af2ed6781 | |
| Hash - MD5 | b67f6e534d5cca654813bd9e94a125b9 | |
| Hash - MD5 | cf54cba05efee9e389e090b3fd63f89b | |
| Hash - MD5 | 44fcf7253bcf0102811e50a4810c4e41 | |
| Hash - MD5 | 690a097b0eea384b02e013c1c0410189 | |
| Hash - MD5 | 186be45570f13f94b8de82c98eaa8f4f | |
| Hash - MD5 | 3c780bcfb37a1dfae5b29a9e7784cbf5 | |
| Hash - MD5 | 925239817d59672f61b8332f690c6dd6 | |
| Hash - MD5 | 9c6b7f388abec945120d95d892314ea7 | |
| Hash - MD5 | 85cd1afbc026ffdfe4cd3eec038c3185 | |
| Hash - MD5 | 6aaba581bcef3ac97ea98ece724b9092 | |
| Hash - MD5 | bcbbf7a5f7ccff1932922ae73f6c65b7 | |
| Hash - MD5 | bde0e001229884404529773b68bb3da0 | |
| Hash - MD5 | 795f0c68528519ea292f3eb1bd8c632e | |
| Hash - MD5 | bc394c859fc379900f5648441b33e5fd | |
| Hash - MD5 | 0fe0212fc5dc82bd7b9a8b5d5b338d22 | |
| Hash - MD5 | 835ebf367e769eeaaef78ac5743a47ca | |
| Hash - MD5 | bdd4972e570e069471a4721d76bb5efb | |
| Hash - MD5 | https://sarkerrentacars.com/zshrc | |
| URL | https://turkishfurniture.blog/Previewers | |
| URL | http://linksammosupply.com/zshrc2 | |
| URL | http://linksammosupply.com/VisualStudioUpdaterLs2 | |
| URL | http://linksammosupply.com/VisualStudioUpdater | |
| Dominio | maconlineoffice.com | |
| IP | 193.29.13.167 | |
| IP | 88.214.26.22 | |
| Dominio | https://serviceicloud.com |
Referencias
- https://www.bitdefender.com/blog/labs/new-macos-backdoor-written-in-rust-shows-possible-link-with-windows-ransomware-group/
- https://securityaffairs.com/158942/malware/macos-backdoor-rustdoor.html
- https://www.bleepingcomputer.com/news/security/new-rustdoor-macos-malware-impersonates-visual-studio-update/
