Gli esperti di Bitdefender hanno individuato un nuovo malware per macOS sfruttato per l’accesso remoto dal gruppo BlackCat/ALPHV. RustDoor è una backdoor scritta il linguaggio Rust che può essere eseguita su Mac con processori Intel (x86/64) e Apple (ARM). I primi attacchi sono stati rilevati nel mese di novembre 2023 e sono ancora in corso con nuove varianti del malware.
Backdoor per accesso remoto e furto di dati
Analizzando il codice, gli esperti di Bitdefender hanno scoperto che RustDoor comunica con quattro server C2 (command and control). Tre di essi sono stati utilizzati anche dal gruppo BlackCat/ALPHV per distribuire l’omonimo ransomware, quindi è probabile che gli autori degli attacchi siano gli stessi.
Non è nota la modalità di accesso iniziale, probabilmente tramite software pirata. La backdoor viene nascosta in falsi aggiornamenti per Visual Studio (la versione per macOS non verrà più sviluppata da Microsoft). Bitdefender ha individuato tre versioni, l’ultima delle quali il 2 febbraio.
Le funzionalità di RustDoor permettono di accedere ai computer, eseguire varie attività e rubare i dati. Il malware può rilevare i processi in esecuzione, creare e rimuovere directory, cancellare file, avviare comandi di shell e inviare file al server remoto. Usando Cron Jobs e LaunchAgents può pianificare l’esecuzione automatica ad un determinato orario o al login per mantenere la persistenza.
Fortunatamente, la backdoor viene rilevata dalla maggioranza delle soluzioni di sicurezza, tra cui quelle di Bitdefender. Quindi è necessario utilizzare un antivirus aggiornato per macOS.