I ricercatori di Bitdefender annunciano la scoperta di una nuova backdoor che prende di mira agli utenti di Mac OS. Questa famiglia di malware, precedentemente non documentata, è scritta in Rust, un linguaggio di programmazione relativamente nuovo per l’ecosistema del malware, ma che può dare ai criminali informatici un vantaggio nell’eludere il rilevamento e l’analisi.
Mentre le indagini sono ancora in corso, la ricerca di Bitdefender fornisce gli indicatori di compromissione (ioC) noti, in modo che le aziende e i professionisti possano aggiungerli alle soluzioni di sicurezza esistenti o condurre le proprie ricerche.
Possibile collegamento con noti gruppi di ransomware che sfruttano i servizi Windows
Sebbene le informazioni attuali su Trojan.MAC.RustDoor non siano sufficienti per attribuire con certezza questa campagna a uno specifico hacker, gli artefatti e gli IoC suggeriscono una possibile relazione con gli operatori dei ransomware BlackBasta e (ALPHV/BlackCat).
In particolare, tre dei quattro server di comando e controllo sono stati precedentemente associati a campagne di ransomware rivolte contro client Windows. ALPHV/BlackCat è una famiglia di ransomware (anch’essa scritta in Rust), che ha fatto la sua prima apparizione nel novembre 2021, pioniera del modello di business delle divulgazioni di dati pubbliche.
I punti salienti della ricerca:
- Si tratta di una campagna attiva che sembra risalire al novembre 2023. Bitdefender ha identificato i campioni storici che mostrano l’evoluzione del malware.
- La backdoor è scritta in Rust, un linguaggio di programmazione relativamente nuovo per l’ecosistema del malware, ma che può dare ai criminali informatici un vantaggio nell’eludere il rilevamento e l’analisi.
- Il malware può essere utilizzato per rubare file o tipi di file specifici, archiviarli e caricarli nel centro di comando e controllo.
- Pur non potendo attribuire con certezza questa campagna a un attore noto, Bitdefender ha rilevato alcune somiglianze tra questa campagna e il ransomware ALPHV/BlackCat.
La ricerca completa è disponibile qui.
