Những người dùng macOS của Apple được cho là đã trở thành mục tiêu tấn công của một mã độc cửa hậu (backdoor) được viết bằng ngôn ngữ lập trình Rust thời gian qua.
Các nhà bảo mật của Bitdefender đã phát hiện ra một mã độc có tên là RustDoor đã âm thầm hoạt động từ tháng 11/2023 và tấn công vào các thiết bị sử dụng macOS của Apple. Mã độc này đã mạo danh bản cập nhật của Microsoft Visual Studio và nhắm mục tiêu vào cả các kiến trúc Intel và Arm.
Mã độc này được phát tán dưới dạng tệp nhị phân FAT chứa tệp Mach-O nhưng hiện chưa xác định được chính xác đường dẫn truy cập ban đầu được sử dụng để phát tán.
Cho đến nay, nhiều biến thể của mã độc này với những sửa đổi nhỏ đã được phát hiện, có khả năng cho thấy sự phát triển và lây lan mạnh của chúng trong thời gian qua. Mã độc đi kèm với một loạt lệnh cho phép thu thập và tải tệp lên cũng như thu thập thông tin về thiết bị bị xâm nhập.
Một số phiên bản cũng bao gồm các cấu hình có những thông tin chi tiết về dữ liệu cần thu thập, danh sách các tiện ích mở rộng và thư mục được nhắm mục tiêu cũng như các thư mục cần loại trừ. Thông tin thu được sau đó sẽ được trích xuất đến máy chủ điều khiển bằng lệnh (C2).
Biến thể đầu tiên của mã độc này được phát hiện vào khoảng 2/11/2023, có thể là phiên bản thử nghiệm không hỗ trợ cơ chế tồn tại lâu dài. Các nhà nghiên cứu nhận thấy backdoor chứa một tệp có đuôi 'test'.
Biến thể thứ hai được phát hiện vào cuối tháng 11, nó chứa cấu hình JSON phức tạp cũng như tập lệnh Apple nhúng được sử dụng để lọc.
Báo cáo của Bitdefender cho biết: “Chúng tôi đã xác định được nhiều biến thể của tập lệnh Apple được nhúng, nhưng tất cả chúng đều nhằm mục đích lọc dữ liệu". “Tập lệnh được sử dụng để lọc các tài liệu có phần mở rộng và kích thước cụ thể từ các thư mục Tài liệu và Máy tính để bàn, cũng như các ghi chú của người dùng, được lưu trữ ở định dạng SQLITE”
Nhiều khả năng, mã độc này có liên quan đến các dòng ransomware nổi tiếng như Black Basta và BlackCat vì thấy có sự chồng chéo trong cơ sở hạ tầng C2.
Nhà nghiên cứu bảo mật Andrei Lapusneau cho biết: “Ba trong số bốn máy chủ chỉ huy và kiểm soát trước đây đã được liên kết với các chiến dịch ransomware nhắm mục tiêu vào máy khách Windows. ALPHV/BlackCat là một họ ransomware (mã độc), cũng được viết bằng Rust, xuất hiện lần đầu tiên vào tháng 11 năm 2021 và đã đi tiên phong trong mô hình kinh doanh dữ liệu rò rỉ (bị đánh cắp) một cách công khai”.
