Una nuova variante del Malware RustBucket prende di mira gli utenti MacOS attraverso un falso visualizzatore di PDF.

I ricercatori hanno recentemente identificato una nuova variante del malware RustBucket la quale presenta migliorate capacità di persistenza e di elusione dei controlli di sistema sui sistemi MacOS.

Il termine “persistenza” indica la capacità del malware di preservare la sua funzionalità anche a seguito di un riavvio, spegnimento o aggiornamento del sistema, mentre con “elusione dei controlli di sistema” indichiamo la capacità del malware di sfuggire ai controlli di un eventuale anti-virus o altri meccanismi di sicurezza presenti sul sistema.

Chi sono gli sviluppatori di RustBucket?

RustBucket è sviluppato da un gruppo avente base nella Corea del Nord, conosciuto con lo pseudonimo di “BlueNoroff”. Esso fa parte di un ulteriore gruppo, conosciuto come “Lazarus Group”, che include Hackers supervisionati direttamente dal Reconnaissance General Bureau (RGB), la principale agenzia di intelligence del Nord Corea.

Come avviene l’infezione di RustBucket?

L’infezione del sistema avviene attraverso un normale pacchetto di installazione di MacOS, al cui interno è contenuto un lettore di PDF perfettamente funzionante. All’interno del software installato è nascosto parte del codice malevolo. A seguito della sua installazione, esso viene attivato attraverso un PDF appositamente creato, che nel momento della sua apertura all’interno dell’applicazione malevola effettua il download e l’esecuzione di altre parti di codice dal centro di controllo. In questo modo il malware può essere mantenuto costantemente aggiornato.

Come si diffonde RustBucket?

La diffusione del malware avviene attraverso normali E-mail di phishing, oppure collegamenti all’interno di social network come ad esempio Linkedin.

Quali sono gli obiettivi del Malware RustBucket?

Secondo quanto scoperto dai ricercatori, i principali obiettivi di questa campagna di diffusione del Malware sono le attività legate al mercato finanziario che risiedono in Asia, Europa e Stati Uniti.

A seguito della sua installazione, il malware comunica con un sistema remoto di controllo, da cui riceve istruzioni. Le sue principali attività riguardano l’intercettazione di dati sensibili dal sistema compromesso, quali credenziali di accesso e dati finanziari.

Dove posso leggere di più su RustBucket?

Un’interessante analisi del malware, che è già stato in precedenza visto attaccare anche i sistemi basati su Microsoft Windows, è disponibile all’interno del blog della SEKOIA, al seguente URL:

• https://blog.sekoia.io/bluenoroffs-rustbucket-campaign/

Cosa posso fare per evitare l’infezione del mio sistema?

La principale azione è certamente la prevenzione da un’eventuale infezione del vostro sistema operativo, poiché in casi come questo è probabile che le normali soluzioni antivirus non siano sufficienti a prevenire o bloccare l’infezione.

Il nostro principale consiglio, valido in generale per la prevenzione ed il mantenimento della sicurezza dei vostri dispositivi, è quello di evitare l’installazione di software sul proprio sistema Aziendale di cui non conoscete la provenienza, o in generale di scarsa diffusione. In caso di dubbi relativi alla sicurezza del vostro sistema o di comportamenti anomali del sistema, è consigliabile rivolgersi a personale qualificato per ricevere una consulenza immediata e procedere eventualmente con un’analisi completa del dispositivo.

Vi ricordiamo che il personale di PrivaCycura è a vostra disposizione per qualsiasi necessità.