La robustesse de macOS a été mise en question récemment avec la découverte d'un nouveau malware, nommé Trojan.MAC.RustDoor, programmé en Rust. Ce malware, détecté tardivement par Bitdefender, aurait circulé librement pendant au moins trois mois.
Selon les analyses de l'entreprise de cybersécurité, les premières activités malveillantes de RustDoor remontent à novembre 2023, et la porte dérobée était encore active jusqu'au 2 février dernier. Bien que les auteurs de l'attaque n'aient pas été précisément identifiés, plusieurs indices pointent vers les groupes Black Basta et ALPHV/BlackCat, connus pour leurs activités de ransomware.
RustDoor représente une menace insidieuse qui peut toucher toutes les architectures Mac. Sa particularité réside dans son langage de programmation Rust, moins courant que d'autres langages comme C ou Python, ce qui complique son analyse et sa détection par les chercheurs en cybersécurité.
De plus, sa distribution prend la forme d'une mise à jour Visual Studio (FAT binaries), alors même que Microsoft cessera le développement de son éditeur de code pour Mac en août prochain. Les noms de fichiers suspects mentionnés par Bitdefender incluent zshrc2, Previewers, VisualStudioUpdater, VisualStudioUpdater_Patch, VisualStudioUpdating, visualstudioupdate et DO_NOT_RUN_ChromeUpdates.
Les hackers ont également développé des versions Intel (x86_64) et Apple Silicon (AMD) de leur malware, augmentant ainsi le nombre de Mac potentiellement touchés.
Bitdefender a identifié trois variants successifs de RustDoor, chacun avec des fonctionnalités et des méthodes d'attaque différentes. Le Variant Zero, apparu le 2 novembre 2023, semblait être une phase de test, tandis que le Variant 1, trois semaines plus tard, incluait des mécanismes de persistance et d'évasion de sandbox sur macOS. Le Variant 2, apparu le 30 novembre, rendait la porte dérobée pleinement opérationnelle, avec un fichier de configuration JSON complexe pour la persistance et un script Apple pour l'exfiltration des données vers des serveurs de commande et de contrôle (C&C ou C2).
De novembre 2023 à février 2024, RustDoor a permis aux pirates de prendre le contrôle à distance des systèmes macOS compromis, de modifier les fichiers de configuration système pour se lancer automatiquement au démarrage, et d'exécuter des tâches régulières pour copier, compresser et transférer des fichiers vers un serveur C2.
Bien que les auteurs de l'attaque demeurent inconnus, plusieurs éléments et indicateurs de compromission suggèrent leur lien avec les groupes Black Basta et ALPHV/BlackCat, qui ont déjà été associés à des attaques de ransomwares utilisant Rust comme langage de programmation.