Malware, Noticias

El grupo APT BlueNoroff se dirige a los usuarios de macOS con el nuevo malware RustBucket

abril 28, 2023
Se ha observado una nueva familia de malware macOS en ataques recientes del grupo de amenazas BlueNoroff vinculado a Corea del Norte, que se cree que es un subgrupo del grupo de piratería Lazarus. Este malware de varias etapas se denomina RustBucket y obtiene cargas útiles adicionales de su servidor C2. Campaña de ataque de […]

Se ha observado una nueva familia de malware macOS en ataques recientes del grupo de amenazas BlueNoroff vinculado a Corea del Norte, que se cree que es un subgrupo del grupo de piratería Lazarus. Este malware de varias etapas se denomina RustBucket y obtiene cargas útiles adicionales de su servidor C2.

Campaña de ataque de BlueNoroff

Según Jamf Threat Labs, el malware BlueNoroff etapa uno está incluido dentro de la aplicación no firmada Internal PDF Viewer. Su objetivo principal es obtener y ejecutar la carga útil de la etapa dos.

El visor de PDF interno no se ejecuta hasta que un usuario anula manualmente Gatekeeper, lo que implica que los atacantes deben usar la ingeniería social para engañar a las víctimas para que inicien la cadena de infección.

La carga útil de la segunda etapa se hace pasar por un identificador de paquete de Apple. Muestra un PDF de señuelo a la víctima, que incluye información tomada del sitio web de una firma de capital de riesgo genuina.

El malware se comunica con el servidor C2 para obtener la carga útil de la etapa tres, un troyano firmado escrito en el lenguaje Rust que se ejecuta en arquitecturas x86 y ARM. Después de la infección, el malware recopila detalles del sistema, como una lista de procesos en ejecución y la hora actual, y permite al atacante realizar diferentes acciones en las máquinas infectadas.

Atribución
Los expertos han destacado varias pistas que vinculan esta campaña con campañas anteriores de BlueNoroff, un subgrupo de Lazarus APT. La carga útil de la etapa uno utiliza un dominio (cloud[.]dnx[.]capital) utilizado en actividades anteriores por BlueNoroff. Además, los señuelos de ingeniería social utilizados para el documento PDF son similares a los dominios falsos anteriores de BlueNoroff.

Conclusión

BlueNoroff ha mejorado su arsenal para apuntar de manera eficiente a los dispositivos macOS. Además, el RustBucket de múltiples etapas es de naturaleza altamente sofisticada y agrega desafíos a las agencias de seguridad para detectar y frustrar la amenaza. Se sugiere a los usuarios de macOS que adopten una postura proactiva hacia la seguridad, incluido el bloqueo de dominios maliciosos y el uso de una solución antimalware genuina.

macos

Comparte este Artículo

Artículos relacionados