Jamf Threat Labs har identifierat en ny skadlig programvara som riktar in sig på användare av MacOS.
Programvaran, som går under namnet RustBucket, kommunicerar med externa servrar för att ladda ner och köra skadlig kod.
En hotaktör med kopplingar till ökända Lazarus-gruppen, finansierad av Nordkorea, ligger med stor sannolikhet bakom.
Jamf Threat Labs identifierade nyligen det nya cyberhotet RustBucket. Den skadliga programvaran hade lagts in i en AppleScript-fil inuti en PDF-visningsapp med namnet Internal PDF Viewer.app.
Hur fungerar skadeprogrammet?
Attacken börjar genom att användaren luras att ladda ner PDF-appen, men det är först när ”rätt” PDF-fil öppnas som programvaran kontaktar angriparna och initierar kommunikation mellan dem och den skadliga programvaran. Många olika PDF-filer används för att initiera kommunikation i motsvarande attacker mot Windows-enheter, men än så länge har bara en sorts PDF-fil upptäckts som drabbar MacOS. Sannolikt finns det fler där ute.
PDF-dokumentet som identifierats i RustBucket-attackerna är ett 9-sidigt dokument med information från vad som verkar vara ett litet, legitimt riskkapitalbolag med intresse att investera i olika tech startups.
När PDF-visningsappen har installerats har RustBucket förmåga att ladda ner ytterligare skadliga komponenter, vilket gör att angriparna kan ta kontroll över det infekterade systemet.
Liknande attacker drabbar även Windows
Den grupp som misstänks ligga bakom RustBucket-kampanjen är den nordkoreanska, statligt finansierade cyberhotaktören BlueNoroff. BlueNoroff tros vara en undergrupp till den ökända Lazarus-gruppen som sedan länge riktat attacker mot just Apple-enheter.
BlueNoroff är kända för att rikta in sig på finansinstitut som riskkapitalbolag, krypto-startups och banker. Att gruppen associeras till det nya cyberhotet beror på att det finns likheter med attacker som tidigare drabbat Windows-enheter. För att attackera Windows skapade gruppen fejkade domäner som imiterade riskkapitalbolag och banker, något som stämmer överens med den sociala ingenjörskonst som nu även använts för att attackera MacOS. Precis som för RustBucket, användes även för Windows-attackerna en PDF-fil som var speciellt utformad för ändamålet.
”I takt med att användningen av Apple-enheter ökar ute på företagen är det troligt att vi både kommer att få se fler attacker riktade mot MacOS-system och fler MacOS-specialiserade APT-grupper. Jamf Protect skyddar mot de skadliga komponenterna i RustBucket-programmet och blockar skadliga domäner. Jamf Threat Labs kommer att fortsätta övervaka BlueNoroffs aktiviteter på nära håll, säger Sara Fernholm, Key Account Manager/Säkerhetsexpert på Jamf.
Hur skyddar man sig?
Det är inte helt klart hur RustBucket sprids. Det är dock troligt att skadeprogrammet distribueras via phishing-mail där användaren luras att tro PDF-appen är säker att ladda ner och köra.
”I dagsläget kan bara ett fåtal säkerhetsleverantörer upptäcka båda stegen av RustBucket. Det är därför viktigt att användare är försiktiga när de öppnar bilagor eller laddar ner programvara. Operativsystem och säkerhetsprogramvara bör också hållas uppdaterade för att minska risken för att drabbas, och MacOS-systemets Gatekeeper bör vara aktiv hela tiden, kommenterar Sara Fernholm.