Trojan.MAC.RustDoor : un nouveau malware sur Mac installe une porte dérobée
Bitdefender a récemment identifié un logiciel malveillant nommé Trojan.MAC.RustDoor, ciblant spécifiquement les systèmes macOS. Actif depuis novembre 2023, ce cheval de Troie, se présentant sous la forme d’une mise à jour de Visual Studio, a pour but l’exfiltration de fichiers vers un serveur de commande et de contrôle. Bien que les auteurs de l’attaque restent indéterminés, des indices suggèrent un lien avec les groupes de rançongiciels BlackBasta et ALPHV/BlackCat.
Caractéristiques techniques et évolution de RustDoor
Ce cheval de Troie est distinctif de par sa programmation en Rust, un langage moins courant que C ou Python, rendant son analyse et sa détection plus ardues. La version initiale de RustDoor, découverte tardivement, se contentait de tester ses fonctionnalités sans les exploiter. La variante du 22 novembre 2023 incluait des mécanismes de persistance et un fichier de configuration, tandis qu’une troisième version, apparue fin novembre, intégrait un script AppleScript pour l’exfiltration de données ciblées depuis des emplacements spécifiques comme les dossiers ~/Bureau
, ~/Documents
et la base de données de l’application Notes.
Les données exfiltrées comprennent des informations sensibles telles que des certificats de sécurité, des configurations VPN, des mots de passe et des notes sécurisées. RustDoor opère discrètement, copiant les données dans un dossier caché, les compressant dans une archive ZIP nommée d’après l’utilisateur, puis les transférant vers un serveur distant. La backdoor assure sa persistance en se greffant au Dock et en s’ajoutant aux tâches programmées du système.
Stratégies d’infiltration et similitudes avec d’autres ransomwares
RustDoor se déguise en mise à jour de Visual Studio, une stratégie d’autant plus surprenante que Microsoft a annoncé l‘abandon de la version Mac de son éditeur de code en août prochain. Les attaquants ont développé des versions compatibles avec les architectures Intel et Apple Silicon, démontrant une préparation méticuleuse pour cibler un large éventail de Macs.
Des similitudes dans le fonctionnement de Trojan.MAC.RustDoor avec des rançongiciels qui ont ciblé Windows, notamment la famille ALPHV/BlackCat, également codée en Rust, renforcent la possibilité d’une connexion entre ces attaques et les groupes responsables de ces rançongiciels.