Les chercheurs de Bitdefender viennent de dévoiler la présence d’une backdoor opérant sur les systèmes macOS. Baptisée RustDoor, cette porte dérobée se fait passer pour une mise à jour de Visual Studio et permet aux pirates de se connecter à distance aux Mac compromis.
Impénétrable, macOS ? Pas si sûr, comme en témoigne la découverte récente d’un malware codé en Rust, Trojan.MAC.RustDoor. Tout juste détectée par Bitdefender, la menace aurait eu le champ libre pendant trois mois, au moins. D’après l’entreprise de cybersécurité, l’analyse de RustDoor a permis de mettre en lumière de premières activités malveillantes dès novembre 2023, et de confirmer que la porte dérobée était toujours active au 2 février dernier. Si Bitdefender n’a pas encore su identifier précisément les auteurs de l’attaque, plusieurs éléments convergent vers les groupes Black Basta et ALPHV/BlackCat, acteurs réputés du ransomware.
Une backdoor discrète qui peut toucher toutes les architectures
C’est une menace longtemps passée inaperçue. Et pour cause, RustDoor a été codée en Rust, dont la syntaxe et la sémantique diffèrent d’autres langages plus répandus, à l’image de C et Python. Une caractéristique qui rend l’analyse et la détection de code malveillant compliquées, et qui explique pourquoi cette backdoor a réussi à passer sous le radar des chercheurs en cybersécurité aussi longtemps.
Autre spécificité de RustDoor : sa distribution prend la forme d’une mise à jour Visual Studio (FAT binaries), alors même que Microsoft abandonnera le développement de son éditeur de code pour Mac en août prochain. Parmi les noms de fichiers suspicieux, Bitdefender évoque zshrc2, Previewers, VisualStudioUpdater, VisualStudioUpdater_Patch, VisualStudioUpdating, visualstudioupdate et DO_NOT_RUN_ChromeUpdates. Pour bien faire les choses, les hackers ont également pris soin de développer une version Intel (x86_64) et une version Apple Sillicon (AMD) de leur malware, ce qui signifie que tous les Mac peuvent potentiellement être touchés.
Un mode opératoire et des IoC qui convoquent le spectre ALPHV/BlackCat
En retraçant l’activité de RustDoor, Bitdefender a pu identifier le déploiement de trois variants successifs de Rustdoor. La première, appelée Variant Zero, remonte au 2 novembre 2023 et semblait tester les fonctionnalités de la backdoor sans les exploiter. Trois semaines plus tard, le Variant 1 intégrait une liste de propriétés décrivant des mécanismes de persistance et des techniques d’évasion de sandbox sur macOS.
Il aura cependant fallu attendre le 30 novembre pour que le Variant 2 apparaisse et rende la porte dérobée totalement opérationnelle. On trouve dans cette version augmentée du malware un fichier de configuration JSON complexe autorisant la persistance, ainsi qu’un script Apple dédié à l’exfiltration de données vers des serveurs de commande et de contrôle, également appelés C&C ou C2.
En clair, entre novembre 2023 et février 2024, RustDoor a permis aux pirates de prendre le contrôle à distance des systèmes macOS compromis, de modifier les fichiers de configuration système pour se lancer automatiquement au démarrage du Mac, et d’exécuter des tâches régulières permettant de copier des fichiers de l’ordinateur infecté dans un dossier caché, de le compresser dans une archive ZIP et de le transférer vers un serveur C2, ni vu ni connu.
Si Bitdefender n’est aujourd’hui pas en mesure d’identifier les auteurs de l’attaque, l’entreprise a relevé que de nombreux éléments et indicateurs de compromission intrinsèques au malware avaient déjà été mis à contribution au cours d’attaques de ransomwares (également codés en Rust) orchestrées par les groupes Black Basta et ALPHV/BlackCat dès novembre 2021, dont trois des quatre serveurs C2 associés à RustDoor.
- moodEssai 30 jours
- devices3 à 10 appareils
- phishingAnti-phishing inclus
- local_atmAnti-ransomware inclus
- groupsContrôle parental inclus
Source : Bitdefender
.
