Malware macOS RustBucket: la nuova versione ancora più pericolosa

Grazie al lavori dei ricercatori di Elastic Security Labs è stato possibile individuare una nuova variante del malware macOS noto come RustBucket.

Si tratta di un agente malevolo riconducibile a un gruppo di hacker nordcoreani, noto come BlueNoroff, considerato collegato in qualche modo ai membri del famigerato gruppo Lazarus.

Il malware in questione, agisce attraverso l’esecuzione di vari payload e, in un primo tempo, la sua diffusione risultava legata a un’app conosciuta come Internal PDF Viewer.app.

La procedura di infezione prevede una prima esecuzione di script per il download del malware vero e proprio, seguita dallo scaricamento del file zip nella cartella /Utenti/Condivisa. In seguito, l’operazione RustBucker prevede il contatto con il server C2 per il download del payload. Questo non è altro che un trojan scritto in Rust (come è facile dedurre dal nome stesso del malware).

RustBucket: come funziona e come si è evoluto

Il trojan in questione, attivo sia su ARM che su x86, una volta attivato raccoglie diverse informazioni sul sistema infettato. In tal senso, si spazia dalle informazioni relative all’hardware in uso, l’elenco dei processi in esecuzione e la possibile esecuzione o meno di una VM.

Fin qui nulla di nuovo, se non fosse che la nuova variante di RustBucket risulta ancora più evasiva rispetto alla precedente.

Il rapporto pubblicato da Elastic Security Labs, infatti, afferma come “la ricerca ha identificato una capacità di persistenza mai vista prima nella famiglia di malware RustBucket, portandoci a credere che questa sia in fase di sviluppo attivo“.

A quanto pare, infatti, la nuova versione dell’agente malevolo include l’esecuzione di un AppleScript che rende più difficile l’individuazione del malware, oltre a opzioni aggiuntive anche per quanto riguarda le potenziali informazioni rubate dal Mac della vittima.

Uno scenario alquanto inquietante che dimostra, ancora una volta, quanto anche macOS sia ormai sotto il mirino dei criminali informatici. In tal senso, il consiglio è di affidarsi a un antivirus di comprovata efficacia e di mantenere sempre molto alta l’attenzione quando si naviga online.