Недавно Kaspersky Lab обнаружили новую разновидность вредоносного загрузчика для macOS, предположительно связанную с APT-бандой BlueNoroff и ее текущей кампанией, известной как RustBucket. Атакующий известен тем, что атакует финансовые организации, в частности компании, чья деятельность так или иначе связана с криптовалютой, а также частных лиц, владеющих криптоактивами или интересующихся этой темой.
Предыдущие версии RustBucket распространяли свою вредоносную полезную нагрузку через приложение, замаскированное под программу просмотра PDF-файлов. В отличие от них, новая разновидность была обнаружена в ZIP-архиве, содержащем PDF-файл под названием "Crypto-assets and their risks for financial stability" с миниатюрой, на которой была изображена соответствующая титульная страница. Судя по метаданным, сохранившимся в ZIP-архиве, приложение было создано 21 октября 2023 года.
Как именно распространился архив, неизвестно. Возможно, злоумышленники отправили его по электронной почте, как это было в прошлых кампаниях.
На момент обнаружения приложение имело действующую подпись, но с тех пор сертификат был отозван.
Indicators of Compromise
URLs
- http://on-global.xyz/Of56cYsfVV8/OJITWH2WFx/Jy5S7hSx0K/fP7saoiPBc/A==
- http://on-global.xyz/Ov56cYsfVV8/OJITWH2WFx/Jy5S7hSx0K/fP7saoiPBc/A==
MD5
- 1fddf14984c6b57358401a4587e7b950
- 3b3b3b9f7c71fcd7239abe90c97751c0
- 80c1256f8bb2a9572e20dd480ac68759
- 90385d612877e9d360196770d73d22d6
- b1e01ae0006f449781a05f4704546b34
- d8011dcca570689d72064b156647fa82
