RustDoor, c’est le nom de la nouvelle porte dérobée furtive qui cible macOS !
Les utilisateurs de macOS sont ciblés par un nouveau logiciel malveillant codé en Rust et qui prend la forme d'une mise à jour pour Visual Studio ! Une porte dérobée furtive est déployée sur les Mac compromis, ce qui offre aux pirates la possibilité de se connecter à distance. Faisons le point sur cette menace.
Ce malware surnommé RustDoor par les chercheurs en sécurité de Bitdefender, serait en circulation depuis novembre 2023. Aujourd'hui encore, la campagne malveillante est toujours active et il existe plusieurs variantes de ce malware. Le fait d'utiliser le langage Rust permet au malware de fonctionner aussi bien sur les Mac basés sur une puce Intel (architecture x86_64) que sur les Mac avec une puce Apple Silicon (architecture ARM).
Dans les faits, RustDoor est caché dans un outil de mise à jour pour Visual Studio for Mac, l'environnement de développement de Microsoft dans sa version pour macOS. D'ailleurs, l'application Visual Studio pour Mac sera abandonnée à partir du 31 août 2024. Bitdefender a repéré plusieurs noms différents utilisés pour distribuer RustDoor : zshrc2, Previewers, VisualStudioUpdater, VisualStudioUpdater_Patch, VisualStudioUpdating, visualstudioupdate et DO_NOT_RUN_ChromeUpdates.
D'après Bitdefender, RustDoor effectue des communications avec quatre serveurs C2 différents, notamment trois serveurs C2 qui ont déjà été utilisés dans des attaques orchestrées par un affilié du gang de ransomware ALPHV/BlackCat. Le rapport de Bitdefender précise ceci : "Bien que les informations actuelles sur Trojan.MAC.RustDoor ne soient pas suffisantes pour attribuer avec certitude cette campagne à un acteur malveillant spécifique, les artefacts et les IoC suggèrent une relation possible avec les opérateurs de ransomware BlackBasta et (ALPHV/BlackCat)."
RustDoor est utilisé par les cybercriminels pour contrôler le système compromis, mais également exfiltrer des données. Il supporte un ensemble de commandes, parmi lesquelles : shell pour exécuter des commandes, mkdir pour créer des dossiers, botkill et taskkill pour tuer d'autres processus, download et upload pour télécharger et charger des fichiers, etc.
Le malware n'hésite pas à modifier la configuration du système pour être persistant et exécuter ses tâches de façon régulière, notamment en modifiant les jobs Cron du système macOS. Par exemple, ceci lui permet de s'exécuter automatiquement au démarrage du système. Par ailleurs, il modifie le fichier "~/.zshrc".
Enfin, il est important de préciser que RustDoor a été distribué activement sans être détecté pendant au moins trois mois. Ceci signifie que des machines ont pu être infectées, sans générer la moindre alerte de sécurité sur le système. Les indicateurs de compromissions (binaires, domaines, URL de C2) sont indiqués dans le rapport de Bitdefender.