En el vasto mundo de la ciberseguridad, una nueva amenaza ha surgido, poniendo en alerta a usuarios de macOS: el malware RustDoor. Esta sofisticada pieza de software malintencionado se camufla ingeniosamente como una actualización de Visual Studio, el popular entorno de desarrollo integrado de Microsoft, para engañar a los usuarios y ganar acceso no autorizado a sus sistemas. En este artículo nos adentraremos en las entrañas de RustDoor, desentrañando su funcionamiento, impacto y, lo más importante, cómo los usuarios pueden protegerse contra esta amenaza sigilosa.
Un malware reciente para macOS, desarrollado en Rust y disfrazado de actualización de Visual Studio, abre acceso a sistemas vulnerados usando una red asociada al conocido grupo de ransomware ALPHV/BlackCat.
La operación detrás de esta puerta trasera inició en noviembre de 2023 y sigue activa, lanzando nuevas versiones del código malicioso.
Creado en Rust, este malware es compatible tanto con la arquitectura Intel (x86_64) como con ARM (Apple Silicon), según indican los especialistas en ciberseguridad, quienes lo han denominado RustDoor.
Conoce más sobre: ¿Qué es Backdoor?: Protegiendo tu Sistema Digital
Durante el análisis de RustDoor, se descubrió que este malware interactuaba con cuatro servidores de comando y control (C2). Al profundizar en la inteligencia de amenazas, se identificó que tres de estos servidores habían sido utilizados previamente en campañas que podrían estar asociadas con operaciones de ransomware ligadas a una subsidiaria de ALPHV/BlackCat.
Aunque estos hallazgos sugieren una posible relación con los grupos de ransomware BlackBasta y ALPHV/BlackCat, la evidencia actual no es suficiente para establecer una conexión definitiva con un grupo de amenaza específico. Se menciona que, debido a las limitaciones en la elección de infraestructura por parte de los ciberdelincuentes, quienes deben optar por servicios de alojamiento que ofrecen anonimato y toleran actividades ilícitas, no es raro que diferentes actores de amenazas compartan los mismos servidores para sus operaciones.
Hasta la fecha, aunque existen versiones del ransomware LockBit adaptadas para macOS y compiladas antes de diciembre de 2022, no se han reportado ataques de ransomware dirigidos específicamente al sistema operativo de Apple. Generalmente, las campañas de ransomware se centran en sistemas Windows y Linux, dada su prevalencia en entornos empresariales.
Te podrá interesar: Alianza Global Anti-Ransomware
La estrategia principal de distribución de RustDoor es a través de una falsa actualización de Visual Studio para Mac, el entorno de desarrollo integrado (IDE) de Microsoft para macOS, que será descontinuado el 31 de agosto de este año. La puerta trasera se ha entregado bajo varios nombres, incluyendo 'zshrc2', 'Previewers', 'VisualStudioUpdater', 'VisualStudioUpdater_Patch', 'VisualStudioUpdating', 'visualstudioupdate' y 'DO_NOT_RUN_ChromeUpdates'.
Este malware ha estado en activa distribución y ha evadido la detección durante al menos tres meses. Se han identificado tres versiones del malware, presentadas como archivos binarios FAT que contienen ejecutables Mach-O para las arquitecturas Intel x86_64 y ARM, pero sin incluirse en los formatos más comunes como paquetes de aplicaciones o imágenes de disco. Esta técnica de distribución no convencional reduce la visibilidad de la campaña y disminuye la probabilidad de que las soluciones de seguridad identifiquen la puerta trasera como maliciosa.
Conoce más sobre: Análisis de Malware con Wazuh
Un reciente informe destaca que RustDoor posee capacidades para controlar sistemas comprometidos y exfiltrar datos, logrando persistir en el dispositivo mediante modificaciones en los archivos del sistema.
Una vez que infecta un sistema, el malware establece comunicación con servidores de comando y control (C2) a través de puntos finales designados para el registro, ejecución de tareas y filtración de datos.
Las funcionalidades del malware incluyen:
Para asegurar su persistencia, RustDoor emplea trabajos Cron y LaunchAgents, programando su ejecución en momentos específicos o al iniciar sesión el usuario, garantizando así su activación tras reinicios del sistema.
Además, modifica el archivo ~/.zshrc para autoejecutarse en nuevas sesiones de terminal o se agrega al Dock mediante comandos del sistema, facilitando su integración con aplicaciones legítimas y actividades del usuario.
Se han identificado al menos tres variantes de RustDoor, con la primera aparición a principios de octubre de 2023. La siguiente se detectó el 22 de noviembre, aparentando ser una versión de prueba, seguida por una actualización el 30 de noviembre que incluye "una compleja configuración JSON y un script de Apple" diseñado para la exfiltración de archivos con extensiones específicas.
Conoce más sobre: Jamf Protect: Protección de Dispositivos macOS
La aparición de RustDoor en el ecosistema de macOS es un recordatorio oportuno de que ningún sistema es inmune a las amenazas cibernéticas. Al adoptar un enfoque proactivo hacia la seguridad en línea, los usuarios pueden fortalecer significativamente sus defensas contra este tipo de malware. La prevención, junto con una vigilancia constante y la adopción de buenas prácticas de seguridad digital, son fundamentales para garantizar que los usuarios y las organizaciones puedan navegar por el ciberespacio de manera segura y confiable.
En última instancia, la batalla contra el malware como RustDoor es continua. La comunidad de ciberseguridad debe permanecer vigilante, adaptándose y respondiendo a las nuevas amenazas a medida que surgen. Solo a través de la educación, la precaución y el uso de tecnologías de seguridad avanzadas, podemos esperar mantener un paso adelante de los actores maliciosos que buscan comprometer nuestra seguridad digital.