- Mới đây, các nhà nghiên cứu đã phát hiện một biến thể mới của RustBucket, một loại mã độc nhằm vào hệ điều hành macOS, được phát triển bởi BlueNoroff - một đối tượng tấn công thuộc nhóm Lazarus của Triều Tiên. Phiên bản mới này đã được cải tiến để cài đặt một cách bền vững và tránh bị phát hiện bởi phần mềm bảo mật.

Vào tháng 04/2023, phát hiện mã độc REF9135 sử dụng một backdoor dựa trên AppleScript có khả năng truy xuất payload bậc hai từ máy chủ từ xa. Mã độc phụ này được viết bằng Swift và được thiết kế để tải xuống mã độc chính từ máy chủ C&C, đó là một tệp nhị phân dựa trên Rust với các tính năng thu thập thông tin trái phép và thực thi các tệp Mach-O bổ sung nhị phân hoặc tập lệnh shell trên hệ thống đã bị xâm nhập.

Đây là phiên bản đầu tiên của mã độc BlueNoroff nhắm vào người dùng macOS. Chuỗi lây nhiễm bao gồm một trình cài đặt macOS tạo ra backdoor trình đọc PDF. Phần lớn các cuộc tấn công sẽ kích hoạt khi tệp PDF được mã hóa để khởi chạy trình đọc PDF giả mạo. Các hoạt động xâm nhập ban đầu bao gồm việc gửi email lừa đảo và sử dụng tài khoản giả mạo trên các mạng xã hội như LinkedIn.

Các cuộc tấn công nhằm mục tiêu chủ yếu vào các tổ chức liên quan đến tài chính ở châu Á, châu Âu và Hoa Kỳ để thu lợi bất hợp pháp.

Cơ chế hoạt động của phiên bản mới này hoạt động thông qua việc:

• Thêm một tệp plist tại đường dẫn /Users/<user>/Library/LaunchAgents/com.apple.systemupdate.plist;

• Sao chép tệp nhị phân của mã độc vào theo đường dẫn /Users/<user>/Library/Metadata/SystemUpdate.

• Đồng thời, RustBucket còn sử dụng miền Domain DNS (docsend.linkpc[.]net) để gửi tập lệnh và chiếm quyền kiểm soát.

Người dùng cần kiểm tra kỹ các email hay tài khoản trước khi nhấp chuột vào bất kỳ liên kết đính kèm nào. Đồng thời, người dùng cần lưu ý cập nhật các bản vá mới và sớm nhất để tránh nguy cơ bị khai thác bởi loại mã độc này.

PV