Se ha observado una nueva familia de malware macOS en ataques recientes del grupo de amenazas BlueNoroff vinculado a Corea del Norte, que se cree que es un subgrupo del grupo de piratería Lazarus. Este malware de varias etapas se denomina RustBucket y obtiene cargas útiles adicionales de su servidor C2. Campaña de ataque de […]
Se ha observado una nueva familia de malware macOS en ataques recientes del grupo de amenazas BlueNoroff vinculado a Corea del Norte, que se cree que es un subgrupo del grupo de piratería Lazarus. Este malware de varias etapas se denomina RustBucket y obtiene cargas útiles adicionales de su servidor C2.
Campaña de ataque de BlueNoroff
Según Jamf Threat Labs, el malware BlueNoroff etapa uno está incluido dentro de la aplicación no firmada Internal PDF Viewer. Su objetivo principal es obtener y ejecutar la carga útil de la etapa dos.
El visor de PDF interno no se ejecuta hasta que un usuario anula manualmente Gatekeeper, lo que implica que los atacantes deben usar la ingeniería social para engañar a las víctimas para que inicien la cadena de infección.
La carga útil de la segunda etapa se hace pasar por un identificador de paquete de Apple. Muestra un PDF de señuelo a la víctima, que incluye información tomada del sitio web de una firma de capital de riesgo genuina.
El malware se comunica con el servidor C2 para obtener la carga útil de la etapa tres, un troyano firmado escrito en el lenguaje Rust que se ejecuta en arquitecturas x86 y ARM. Después de la infección, el malware recopila detalles del sistema, como una lista de procesos en ejecución y la hora actual, y permite al atacante realizar diferentes acciones en las máquinas infectadas.
Atribución
Los expertos han destacado varias pistas que vinculan esta campaña con campañas anteriores de BlueNoroff, un subgrupo de Lazarus APT. La carga útil de la etapa uno utiliza un dominio (cloud[.]dnx[.]capital) utilizado en actividades anteriores por BlueNoroff. Además, los señuelos de ingeniería social utilizados para el documento PDF son similares a los dominios falsos anteriores de BlueNoroff.
Conclusión
BlueNoroff ha mejorado su arsenal para apuntar de manera eficiente a los dispositivos macOS. Además, el RustBucket de múltiples etapas es de naturaleza altamente sofisticada y agrega desafíos a las agencias de seguridad para detectar y frustrar la amenaza. Se sugiere a los usuarios de macOS que adopten una postura proactiva hacia la seguridad, incluido el bloqueo de dominios maliciosos y el uso de una solución antimalware genuina.
Artículos relacionados
El nuevo malware TrafficStealer monetiza el tráfico de red
28 de abril de 2023Históricamente, los ciberdelincuentes se han centrado en los contenedores Docker para aprovechar su poder de procesamiento basado en la nube para ejecutar software de criptominería o realizar ataques de reconocimiento mediante la ejecución de comandos de Linux.
Comunidad de Mujeres en Ciberseguridad: Disminuyendo la brecha de género
2 de mayo de 2023Fue pensada por 5 mujeres líderes en la ciberseguridad en Chile. Partió como un grupo de whatsapp entre ellas y luego nació la idea de abrirlo para conformar una comunidad de todas las mujeres en ciberseguridad en Chile.
