روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛  ما بتازگی سویه جدیدی از لودر مخرب را کشف کرده‌ایم که هدفش سیستم‌عامل مک‌اواس است؛ شاید این سویه به گروه سایبری apt موسوم به BlueNoroff و کمپین حال حاضرشان با نام RustBucket مرتبط باشد. با ما همراه شوید تا این تروجان را بیشتر مورد بررسی قرار دهیم.

عامل تهدید معروف است به حمله به سازمان‌های مالی خصوصاً شرکت‌ها که فعالیت‌شان به هر روی مرتبط می‌شود با رمزارز و نیز افرادی که دارایی‌های کریپتو نگه می‌دارند یا به این موضوع علاقه دارند. نسخه‌های قبلی RustBucket لودر مخرب خود را از طریق برنامه‌ای که به عنوان نمایشگر PDF پنهان شده است، پخش می‌کند. در مقابل، این سویه جدید در یک آرشیو ZIP یافت شد که حاوی فایل PDF به نام «دارایی‌های رمزنگاری و خطرات آن برای ثبات مالی» بود، با تصویری کوچک که صفحه عنوان مربوطه را نشان می‌داد. ابرداده حفظ شده در بایگانی ZIP نشان می‌دهد که برنامه در 21 اکتبر 2023 ایجاد شده است. نحوه انتشار آرشیو دقیقا مشخص نیست. ممکن است مجرمان سایبری مانند کمپین‌های گذشته آن را برای اهدافی ایمیل کرده باشند. این برنامه زمانی که کشف شد دارای امضای معتبری بود، اما گواهی از آن زمان باطل شده است. این فایل اجرایی که به زبان سوئیفت نوشته شده و EdoneViewer نام دارد، یک فایل با فرمت جهانی است که دارای نسخه‌هایی برای تراشه‌های سیلیکون اینتل و اپل است. رمزگشایی محموله رمزگذاری‌شده با XOR توسط تابع اصلی CalculateExtameGCD انجام می‌شود. گرچه فرآیند رمزگشایی در حال اجرا است، اما برنامه پیام‌های نامرتبط را به ترمینال ارسال می‌کند تا هوشیاری تحلیلگر را آرام کند.

پس از مونتاژ، دستور shell مراحل زیر را طی می‌کند:

•         فایل پی دی افی را دانلود می‌کند، آن را در /Users/Shared/Crypto-assets و خطرات آنها برای ثبات مالیpdf ذخیره و آن را باز می‌کند. این یک فایل خوش‌خیم است که به عنوان منحرف‌گر مسیر لانچ می‌شود.
•         یک درخواست POST به سرور ارسال و پاسخ را در یک فایل مخفی به نام ".pw" که در /Users/Shared/ قرار دارد ذخیره می‌کند.
•         به فایل مجوز می‌دهد و آن را با آدرس C&C به عنوان آرگومان اجرا می‌کند.

سرور C&C در hxxp://on-global[.]xyz میزبانی می‌شود، نام دامنه‌ای که اخیراً در 20 اکتبر 2023 ثبت شده است. ما نتوانستیم لینک بین دامنه و هیچ فایل یا تهدید دیگری پیدا کنیم.

فایل اطلاعات سیستم زیر را جمع آوری و به C&C ارسال می‌کند:

•         نام کامپیوتر
•         نسخه سیستم عامل
•         منطقه زمانی
•         تاریخ راه‌اندازی دستگاه
•         تاریخ نصب سیستم عامل
•         زمان فعلی
•         لیست فرآیندهای در حال اجرا

داده ها در هر دقیقه به صورت چرخه‌ای جمع آوری و ارسال می‌شوند. تروجان یکی از سه دستور زیر را در پاسخ انتظار دارد. پس از دریافت دستور 0x0، برنامه داده‌های ارسال شده با دستور را در فایل مشترک با نام ".pld" که در /Users/Shared/  قرار دارد ذخیره به آن مجوز خواندن/نوشتن/اجرا داده و آن را اجرا می‌کند. متأسفانه، ما در طول تجزیه و تحلیل خود حتی یک دستور از سرور دریافت نکردیم، بنابراین نتوانستیم محتوای مرحله حمله را پیدا کنیم. تروجان اکنون توسط اکثر راهکارهای ضد بدافزار قابل شناسایی است.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.