研究人員已經(jīng)揭開了蘋果macOS惡意軟件RustBucket更新版本的序幕，該版本具有改進(jìn)的能力，可以建立持久性并避免被安全軟件發(fā)現(xiàn)。

安全實驗室的研究人員在本周發(fā)表的一份報告中表示：RustBucket的變種是一個針對macOS系統(tǒng)的惡意軟件集合，它增加了持久隱藏能力，同時利用動態(tài)網(wǎng)絡(luò)基礎(chǔ)設(shè)施方法進(jìn)行指揮和控制。

該惡意軟件于2023年4月曝光，當(dāng)時Jamf威脅實驗室將其描述為一個基于AppleScript的后門，能夠從遠(yuǎn)程服務(wù)器檢索第二級有效載荷。

第二階段的惡意軟件是用 Swift 編譯的，旨在從命令和控制 （C2） 服務(wù)器下載主要惡意軟件，這是一種基于 Rust 的二進(jìn)制文件，具有收集大量信息以及在受感染系統(tǒng)上獲取和運行其他 Mach-O 二進(jìn)制文件或 shell 腳本的功能。

BlueNoroff惡意軟件是第一個專門針對macOS用戶的例子，現(xiàn)在.NET版本的RustBucket已經(jīng)以類似的功能在野外浮出水面。

感染鏈由一個macOS安裝文件組成，該文件安裝了一個帶有后門但功能正常的PDF閱讀器。當(dāng)使用PDF閱讀器啟動PDF文件時，就會觸發(fā)惡意活動。最初的入侵載體包括釣魚郵件，以及在LinkedIn等社交網(wǎng)絡(luò)上采用假的角色。

安全人員還觀察到該攻擊具有很強的針對性，集中在亞洲、歐洲和美國的金融相關(guān)機構(gòu)，這也表明該惡意活動是以非法創(chuàng)收為目的。

新發(fā)現(xiàn)的版本值得注意的是它不尋常的持久隱匿機制和使用動態(tài)DNS域名（docsend.linkpc[.net]）進(jìn)行指揮和控制。

最后，研究人員表示，此次更新的RustBucket樣本中，通過在路徑/Users/<user>/Library/LaunchAgents/com.apple.systemupdate.plist添加一個plist文件來建立自己的持久性，并且它將惡意軟件的二進(jìn)制文件復(fù)制到以下路徑/Users/<user>/Library/Metadata/System Update。