macOSを標的にしたマルウェア「RustBucket」。特定のPDFを開くと感染

Internal PDF Viewer(出典:Jamf)

　JamfのサイバーセキュリティチームであるJamf Threat Labsは、macOSを標的とする新種のマルウェア「RustBucket」を発見したとして、注意を促している。

　RustBucketは、C2サーバーと通信して悪意のあるペイロードをダウンロードし実行するマルウェア。PDFビューアアプリ「Internal PDF Viewer」を介して感染し、特徴として、同アプリは通常時には普通のPDFビューアとして機能するのだが、特定のPDFファイルを開いた場合にのみマルウェアに感染する。

　同社は記事内で特定のPDFファイルの1つを紹介している。このPDFファイルを開くと、ハッカーが制御するサーバーと通信を開始し、ArmおよびIntelベースのMacを攻撃する悪意のあるペイロードをダウンロードし実行するという。

悪意のある特定のPDFファイル。ベンチャーキャピタル会社のドキュメントが表示されるという(出典:Jamf)

　同マルウェアは、北朝鮮が支援するAPT攻撃グループ「Lazarus」の傘下とされる「BlueNoroff」により作られたと考えられている。

RustBucketの感染ワークフロー(出典:Jamf)