Sala de prensa

El CSIRT Finaciero informa a todos los interesados sobre cada uno de los aspectos corporativos relevantes en materia de ciberseguridad.

NUEVA VARIANTE DEL BACKDOOR RUSTBUCKET PARA MACOS

14/09/2023

NUEVA VARIANTE DEL BACKDOOR RUSTBUCKET PARA MACOS
El backdoor RustBucket, desarrollado por el grupo BlueNoroff ha sido actualizado con capacidades mejoradas de persistencia y evasión de detección.

Descripción

En la actualidad, se está llevando a cabo una peligrosa campaña cibernética conocida como REF9135, orquestada por la República Popular Democrática de Corea (RPDC). Esta campaña emplea una variante actualizada de la puerta trasera para MacOS llamado RUSTBUCKET, caracterizada por sus capacidades mejoradas y una capacidad reducida de detección de firmas.

El backdoor RustBucket, desarrollado por el grupo BlueNoroff ha sido actualizado con capacidades mejoradas de persistencia y evasión de detección. Esta variante del malware utiliza una metodología de infraestructura de red dinámica para el comando y control. Cabe resaltar que los ataques con RustBucket están altamente dirigidos a instituciones financieras en Asia, Europa y los Estados Unidos, lo que sugiere un objetivo de generar ingresos ilícitos para evadir sanciones.

RustBucket se dio a conocer en abril de 2023 como un backdoor basado en AppleScript capaz de obtener una carga útil de un servidor remoto. La nueva variante de RUSTBUCKET identificada presenta una capacidad de persistencia nunca vista en la familia de malware. Utiliza técnicas específicas de macOS y se comunica con un servidor C2 para recibir comandos y enviar información del sistema.

Vector de infección

El vector de distribución utilizado en la campaña REF9135 para entregar la nueva variante de RUSTBUCKET implica la utilización de un archivo instalador de macOS que se presenta como un lector de PDF retroactivo pero funcional. Los atacantes podrían emplear diferentes medios para distribuir este archivo instalador, como el envío de correos electrónicos de phishing con adjuntos maliciosos o la publicación de enlaces a sitios web comprometidos que contengan descargas del instalador. Estos métodos de entrega engañosos y persuasivos buscan aprovechar la confianza de los usuarios y fomentar la ejecución del archivo instalador en sus sistemas, lo que permitiría la instalación del malware RUSTBUCKET y su subsiguiente actividad maliciosa.

Recomendaciones

La amenaza analizada puede ser mitigada o detectada en su infraestructura tecnológica aplicando las siguientes recomendaciones:

Habilitar la característica de seguridad Gatekeeper, esta está diseñada para proteger a los usuarios de la descarga e instalación de software malicioso o no autorizado en sus equipos Mac. La función principal de Gatekeeper es controlar qué aplicaciones se pueden ejecutar, y lo hace verificando la firma digital de las aplicaciones antes de permitir que se instalen y se ejecuten.

Mantener actualizados los sistemas y software con las últimas versiones y parches de seguridad con el fin de reducir los vectores de infección.

 

Leer noticia: https://www.elastic.co/es/security-labs/DPRK-strikes-using-a-new-variant-of-rustbucket