他们在 MacOS 中发现了一种新的“恶意软件”，能够通过冒充 Visual Studio 更新来窃取文件

马德里，2 月 12 日（Portaltic/EP）-

一组研究人员发现了一种新的 针对使用 MacOS 计算机的用户的“恶意软件”， 能够 通过后门窃取文件 其分布冒充为 Microsoft Visual Studio 代码程序更新。

网络安全公司的一组研究人员详细介绍了这一点 比特卫士， 谁保证它是一个 属于“以前未记录”恶意软件家族的新后门 这显示了可能指向一组 Windows“勒索软件”的链接。

在此框架中，详细信息请参见 他们网站上的声明这个后门，他们称之为 MAC变种RustDoor旨在 macOS 用户并使用 Rust 编写“恶意软件”生态系统中的一种“相对较新”的编程语言，为网络犯罪分子提供了机会 在逃避攻击检测和分析方面具有优势。

具体来说，正如他们已经能够验证的那样，“恶意软件”可用于 窃取特定文件或文件类型以及对于 将它们存档并上传到指挥和控制中心（C&C）以便恶意行为者可以访问它们。

此外，根据研究人员的说法，这是一个 该活动至少从去年 11 月就开始活跃。 最后发现的“恶意软件”样本的日期是本月 2 日，这表明 “已经运行了至少三个月而不被发现。”

因此，为了传播自己，这个“恶意软件” 欺骗 Microsoft Visual Studio 程序的更新。 事实上，一些已识别的样本的名称如下： ‘VisualStudioUpdater’、’VisualStudioUpdater_Patch’、’VisualStudioUpdating’ 和“视觉工作室更新”。 然而，还发现了该恶意软件的其他样本，名称为“DO_NOT_RUN_ChromeUpdates”或“zshrc2”。

同样，所有文件都显示为 二进制文件分配表也就是说，他们可以 在多种类型的处理器上运行在这种情况下，对于基于的架构 英特尔 (x86_64) y 手臂 （苹果硅）。

内 不同版本 研究人员在这种“恶意软件”的活动中发现了诸如“shell”、“cd”、“睡眠”、“上传”、“taskkill”或“对话”等命令，网络犯罪分子可以利用这些命令 收集和上传文件，以及获取有关设备本身的信息 它正在其中进行。

正如他们所解释的，具体而言， “sysctl”命令以及“pwd”和“hostname”命令 发给 命令和控制基础设施服务器注册端点 -即控制信息、集中信息并执行必要操作的服务器- 文件受害者 ID随后用于“C&C 与后门之间的其余通信”。

尽管如此，Bitdefender 表示，目前，这一“恶意软件”活动 不能归因于任何已知的威胁行为者。 然而，他们观察到 与“勒索软件”ALPHV/BlackCat 的相似之处它还使用 Rust 编程语言和“公共域”，例如命令和控制基础设施服务器。

事实上，他们已经指出 该“恶意软件”中使用了四个命令和控制服务器中的三个他们有 与之前针对 Windows 客户的“勒索软件”活动相关。