Jamf Threat Labs har identifierat en ny skadlig programvara som riktar in sig på användare av MacOS. Programvaran, som går under namnet RustBucket, kommunicerar med externa servrar för att ladda ner och köra skadlig kod.
En hotaktör med kopplingar till ökända Lazarus-gruppen, finansierad av Nordkorea, ligger med stor sannolikhet bakom.
Jamf Threat Labs identifierade nyligen det nya cyberhotet RustBucket. Den skadliga programvaran hade lagts in i en AppleScript-fil inuti en PDF-visningsapp med namnet Internal PDF Viewer.app.
Hur fungerar skadeprogrammet?
Attacken börjar genom att användaren luras att ladda ner PDF-appen, men det är först när ”rätt” PDF-fil öppnas som programvaran kontaktar angriparna och initierar kommunikation mellan dem och den skadliga programvaran. Många olika PDF-filer används för att initiera kommunikation i motsvarande attacker mot Windows-enheter, men än så länge har bara en sorts PDF-fil upptäckts som drabbar MacOS. Sannolikt finns det fler där ute.
