Τεχνικά χαρακτηριστικά και εξέλιξη του RustDoor

Αυτός ο δούρειος ίππος είναι χαρακτηριστικός επειδή είναι προγραμματισμένος σε Rust, μια γλώσσα λιγότερο κοινή από την C ή την Python, καθιστώντας την ανάλυση και τον εντοπισμό του πιο δύσκολη. Η αρχική έκδοση του RustDoor, που ανακαλύφθηκε αργά, απλώς δοκίμασε τα χαρακτηριστικά του χωρίς να τα εκμεταλλευτεί. Η παραλλαγή της 22ας Νοεμβρίου 2023 περιελάμβανε μηχανισμούς επιμονής και ένα αρχείο διαμόρφωσης, ενώ μια τρίτη έκδοση, που εμφανίστηκε στα τέλη Νοεμβρίου, ενσωμάτωσε ένα AppleScript για στοχευμένη εξαγωγή δεδομένων από συγκεκριμένες τοποθεσίες, όπως φακέλους. ~/Bureau, ~/Documentsκαι τη βάση δεδομένων της εφαρμογής Notes.

Τα εξαγόμενα δεδομένα περιλαμβάνουν ευαίσθητες πληροφορίες, όπως πιστοποιητικά ασφαλείας, διαμορφώσεις VPN, κωδικούς πρόσβασης και ασφαλείς σημειώσεις. Το RustDoor λειτουργεί διακριτικά, αντιγράφοντας δεδομένα σε έναν κρυφό φάκελο, συμπιέζοντάς τα σε ένα αρχείο ZIP με το όνομα του χρήστη και στη συνέχεια μεταφέροντάς τα σε έναν απομακρυσμένο διακομιστή. Η κερκόπορτα διασφαλίζει την επιμονή της προσαρτώντας τον εαυτό της στο Dock και προσθέτοντας τον εαυτό της στις προγραμματισμένες εργασίες του συστήματος.

Στρατηγικές διείσδυσης και ομοιότητες με άλλα ransomware

Το RustDoor μεταμφιέζεται ως ενημέρωση του Visual Studio, μια στρατηγική που προκαλεί ακόμη μεγαλύτερη έκπληξη από τη στιγμή που η Microsoft ανακοίνωσε την εγκατάλειψη της έκδοσης Mac του επεξεργαστή κώδικα της τον επόμενο Αύγουστο. Οι επιτιθέμενοι ανέπτυξαν εκδόσεις συμβατές με τις αρχιτεκτονικές Intel και Apple Silicon, επιδεικνύοντας σχολαστική προετοιμασία για να στοχεύσουν ένα ευρύ φάσμα Mac.

Οι ομοιότητες στη λειτουργία του Trojan.MAC.RustDoor με ransomware που έχει στοχεύσει τα Windows, ιδίως την οικογένεια ALPHV/BlackCat, επίσης κωδικοποιημένη στο Rust, ενισχύουν την πιθανότητα σύνδεσης μεταξύ αυτών των επιθέσεων και των ομάδων που είναι υπεύθυνες για αυτά τα ransomware.