Los investigadores de seguridad de Elastic Security Labs han advertido en un informe sobre la versión actualizada de RustBucket, un malware para el sistema operativo macOS.
Esta variante agrega capacidades de persistencia que no habían sido observadas anteriormente y, en el momento de la publicación del informe, los motores de firmas de VirusTotal no eran capaces de detectarlo.
Según la investigación, la familia de malware se encuentra en desarrollo activo y es capaz de aprovechar "una metodología de infraestructura de red dinámica para comando y control".
RustBucket es una amenaza que se atribuye a un grupo de piratas informáticos de Corea del Norte, el cual se conoce como 'BlueNoroff'. Este, a su vez, formaría parte de una pandilla de ciberdelincuentes de mayor dimensión, Lazarus Group.
Lazarus estaría supervisada por la Oficina General de Reconocimiento (RGB), la principal agencia de inteligencia del país. Últimamente ha realizado varias amenazas importantes, apuntando contra las industrias logística, de defensa y energía.
RustBucket fue identificado por primera vez en abril de 2023, cuando Jamf Threat Labs lo describió como una puerta trasera basada en Apple Script que podía recuperar una carga útil de segunda etapa desde un servidor remoto.
Además de que su primera instancia se dirija a usuarios de macOS se ha encontrado una versión .NET de RustBucket con un conjunto similar de características.
"La primera instancia del malware BlueNoroff ilustra cómo los conjuntos de intrusos recurren al lenguaje multiplataforma en sus esfuerzos de desarrollo, ampliando aun más sus capacidades y es muy probable que amplíen su victimología", comentaba la compañía francesa de ciberseguridad Sekoia en un análisis de la campaña RustBucket a finales de mayo.
Cómo infecta
Según recoge la web TheHackerNews, la cadena de infección consiste en un archivo de instalación de macOS que instala un lector de PDF con puerta trasera, pero funcional. La actividad maliciosa se desencadena únicamente cuando se inicia un archivo PDF armado utilizando el lector de PDF falso.
El vector de intrusión inicial incluye emails de phishing, así como el empleo de personas falsas en redes sociales como LinkedIn.
Los ataques de RustBucket estarían muy dirigidos y centrados en instituciones relacionadas con las finanzas en Asia, Europa y EE.UU, sugiriendo que la actividad está orientada a la generación de ingresos ilícitos para evadir sanciones.