El malware RustBucket contraataca con una nueva versión capaz de eludir las detecciones

En la primera instancia esta amenaza con capacidades mejoradas se dirige contra usuarios del sistema operativo macOS.

Alberto Payo

Periodista

Guardar

ordenador mac (1)
ordenador mac (1)

Los investigadores de seguridad de Elastic Security Labs han advertido en un informe sobre la versión actualizada de RustBucket, un malware para el sistema operativo macOS. 

Esta variante agrega capacidades de persistencia que no habían sido observadas anteriormente y, en el momento de la publicación del informe, los motores de firmas de VirusTotal no eran capaces de detectarlo.

Según la investigación, la familia de malware se encuentra en desarrollo activo y es capaz de aprovechar "una metodología de infraestructura de red dinámica para comando y control". 

RustBucket es una amenaza que se atribuye a un grupo de piratas informáticos de Corea del Norte, el cual se conoce como 'BlueNoroff'. Este, a su vez, formaría parte de una pandilla de ciberdelincuentes de mayor dimensión, Lazarus Group

Lazarus estaría supervisada por la Oficina General de Reconocimiento (RGB), la principal agencia de inteligencia del país. Últimamente ha realizado varias amenazas importantes, apuntando contra las industrias logística, de defensa y energía. 

RustBucket fue identificado por primera vez en abril de 2023, cuando Jamf Threat Labs lo describió como una puerta trasera basada en Apple Script que podía recuperar una carga útil de segunda etapa desde un servidor remoto. 

Además de que su primera instancia se dirija a usuarios de macOS se ha encontrado una versión .NET de RustBucket con un conjunto similar de características. 

"La primera instancia del malware BlueNoroff ilustra cómo los conjuntos de intrusos recurren al lenguaje multiplataforma en sus esfuerzos de desarrollo, ampliando aun más sus capacidades y es muy probable que amplíen su victimología", comentaba la compañía francesa de ciberseguridad Sekoia en un análisis de la campaña RustBucket a finales de mayo.

Cómo infecta

Según recoge la web TheHackerNews, la cadena de infección consiste en un archivo de instalación de macOS que instala un lector de PDF con puerta trasera, pero funcional. La actividad maliciosa se desencadena únicamente cuando se inicia un archivo PDF armado utilizando el lector de PDF falso. 
El vector de intrusión inicial incluye emails de phishing, así como el empleo de personas falsas en redes sociales como LinkedIn.

Los ataques de RustBucket estarían muy dirigidos y centrados en instituciones relacionadas con las finanzas en Asia, Europa y EE.UU, sugiriendo que la actividad está orientada a la generación de ingresos ilícitos para evadir sanciones. 
 

Archivado en: