Recientemente, varias empresas de criptomonedas se han visto afectadas por una nueva puerta trasera de Apple macOS conocida como RustDoor. Bitdefender fue la primera en documentar el malware basado en Rust, capaz de recopilar y cargar archivos, así como de recopilar información sobre las máquinas infectadas. RustDoor se distribuye disfrazándose como una actualización de Visual Studio. Aunque se han descubierto al menos tres variantes diferentes de esta puerta trasera, se desconoce su mecanismo de propagación inicial exacto. Sin embargo, Bitdefender ha afirmado que se ha utilizado como parte de un ataque dirigido, en lugar de una campaña de distribución general. Según la compañía de ciberseguridad rumana, se encontraron artefactos adicionales que descargaron y ejecutaron RustDoor. Estos descargadores de primera etapa se presentaban como archivos PDF de ofertas de trabajo, pero en realidad, eran scripts que descargaban y ejecutaban el malware y también descargaban y abrían un archivo PDF inocuo que se presentaba como un acuerdo de confidencialidad.
Tres muestras maliciosas más se descubrieron después, con la pretensión de ser ofertas de trabajo. Los archivos ZIP precedieron a los binarios anteriores de RustDoor por casi un mes. Cada archivo ZIP contenía un script de shell básico que se encargaba de obtener el implante de un sitio web llamado turkishfurniture[.]blog y también previsualizaba un archivo PDF engañoso alojado en el mismo sitio como distracción.
Además, Bitdefender detectó cuatro nuevos binarios basados en Golang que se comunican con un dominio controlado por actores, cuyo propósito es recopilar información sobre la máquina de la víctima y sus conexiones de red usando los servicios públicos system_profiler y networksetup, que son parte del sistema operativo macOS. También son capaces de extraer detalles sobre el disco a través del comando «diskutil list» y de recuperar una amplia lista de parámetros del kernel y valores de configuración usando el comando «sysctl – a».
Bitdefender también llevó a cabo una investigación más detallada de la infraestructura de control y comando (C2), revelando un punto final con fugas («/ cliente / bots») que hace posible obtener detalles sobre las víctimas actualmente infectadas, incluidas las marcas de tiempo cuando se registró el host infectado y se observó la última actividad.
En otro desarrollo relacionado con la ciberseguridad, el Servicio de Inteligencia Nacional de Corea del Sur (NIS) informó recientemente que una organización de TI asociada con la Oficina N. ° 39 del Partido de los Trabajadores de Corea del Norte está generando ingresos ilícitos vendiendo miles de sitios web de juegos de azar infectados con malware a otros ciberdelincuentes para robar datos sensibles de apostadores desprevenidos. El compromiso se debe a Gyeongheung (también deletreada Gyonghung), una entidad de 15 miembros con sede en Dandong que supuestamente recibió pagos por valor de $5.000 dólares de una organización criminal surcoreana no identificada a cambio de crear un solo sitio web y $3.000 dólares por mes para mantener el sitio web.
Vía The Hacker News
