RustDoor-Malware gibt sich als Visual Studio-Update aus und hat es auf macOS-Nutzer abgesehen

Eine neue Malware namens RustDoor zielt auf macOS-Nutzer ab. Die Malware ist seit 3 Monaten unentdeckt und gibt sich als Microsoft Visual Studio Update aus.

Die Malware wurde von Bitdefender identifiziert. In einem Bericht heißt es, dass RustDoor in der Programmiersprache Rust geschrieben ist. Bitdefender-Produkte identifizieren die Malware als Trojan.MAC.RustDoor.

RustDoor wurde erstmals im November 2023 entdeckt und laut Bitdefender macht die Malware immer noch die Runde im Internet, das letzte Beispiel wurde am 2. Februar 2024 beobachtet. Die RustDoor-Malware gibt sich als Visual Studio-Update aus, um den Benutzer zum Download zu verleiten. Das gefälschte Update enthält FAT-Binärdateien mit Mach-0-Dateien, die sowohl Intel-basierte Macs als auch Apple Silicon Macs befallen können. Die Dateien haben jedoch keine anderen Bestandteile wie Anwendungspakete oder Disk-Images, um möglicherweise vor dem Benutzer verborgen zu bleiben.

Die Beispiele wurden unter den folgenden Namen identifiziert: zshrc2, Previewers, VisualStudioUpdater, VisualStudioUpdater_Patch, VisualStudioUpdating, visualstudioupdate und DO_NOT_RUN_ChromeUpdates.

RustDoor-Malware

Bitdefender zufolge gibt es mehrere Varianten von RustDoor, die einige Funktionen gemeinsam haben. Die Malware ist in der Lage, zu persistieren und nutzt Sandbox-Umgehungstechniken, um die Sicherheit von macOS zu umgehen.

Der Forscher weist darauf hin, dass sich die Syntax und Semantik von Rust von gängigen Programmiersprachen wie C oder Python unterscheiden, was es Forschern erschweren kann, den Schadcode zu analysieren und zu erkennen. Dies wiederum könnte der Malware helfen, sich der Erkennung zu entziehen, was erklären könnte, warum sie in den letzten drei Monaten unentdeckt umhergezogen ist.

Der Quellcode der RustDoor-Malware enthält Befehle, die es ihr ermöglichen, Dateien zu sammeln und hochzuladen. Darüber hinaus erfasst sie Informationen über einen Computer. Einige Konfigurationen der Malware enthalten spezifische Anweisungen zu den zu sammelnden Daten, einschließlich der maximalen Anzahl von Dateien, der Größe der Dateien, Listen der Zielerweiterungen und -verzeichnisse sowie der auszuschließenden Ordner. Das schädliche Skript ist so konzipiert, dass es Daten aus Dokumenten, Desktop-Ordnern und den Notizen des Benutzers exfiltriert und diese in einen Zielordner kopiert. Die Dateien werden in ein ZIP-Archiv komprimiert und die Daten werden an einen Command-and-Control-Server (C2) gesendet. Die Malware ist auch in der Lage, Dateien von dem Server herunterzuladen, um die Sicherheit des Systems zu gefährden. Insgesamt scheinen vier C2-Server für den Angriff verwendet worden zu sein, von denen drei zuvor mit einer Ransomware-Gruppe in Verbindung gebracht wurden.

Bitdefender zufolge liegen nicht genügend Daten vor, um die RustDoor-Kampagne einem bestimmten Akteur zuordnen zu können. Die Artefakte und Kompromittierungsindikatoren (Indicators of Compromise, IoCs) deuten dem Bericht zufolge jedoch darauf hin, dass sie mit den Ransomware-Betreibern BlackBasta und (ALPHV/BlackCat) in Verbindung stehen könnte, die in der Vergangenheit Windows-PCs angegriffen haben.