RustyAttr Mac malware

Výzkumníci zjistili, že aktéři hrozeb nyní používají inovativní metodu, která využívá rozšířených atributů v souborech macOS ke skrytí nové hrozby známé jako RustyAttr.

Tato nová kampaň byla přiměřeně spojena se známou skupinou Lazarus , která je spojena se Severní Koreou. Atribuce je založena na pozorovaných podobnostech v infrastruktuře a taktice související s dřívějšími kampaněmi, včetně RustBucket.

Rozšířené atributy odkazují na doplňková metadata spojená se soubory a adresáři, ke kterým lze přistupovat pomocí příkazu známého jako xattr. Tyto atributy se obvykle používají k ukládání informací nad rámec standardních podrobností, jako je velikost souboru, časová razítka a oprávnění.

Ohrožující aplikace sdílejí několik připojení

Výzkumníci odhalili ohrožující aplikace vytvořené pomocí Tauri, multiplatformního frameworku pro desktopové aplikace, a podepsané pomocí uniklého certifikátu, který Apple mezitím zrušil. Tyto aplikace obsahují rozšířený atribut určený k načtení a spuštění skriptu shellu.

Když se spustí skript shellu, aktivuje také návnadu, která má odvést pozornost. Tato návnada může zobrazovat chybovou zprávu „Tato aplikace nepodporuje tuto verzi“ nebo zobrazovat neškodné PDF související s vývojem a financováním herních projektů.

Jak útok RustyAttr pokračuje

Po spuštění aplikace se framework Tauri pokusí zobrazit HTML webovou stránku pomocí WebView, přičemž aktér hrozby vybere náhodnou šablonu získanou z internetu.

Zvláště pozoruhodné je, že tyto webové stránky jsou navrženy tak, aby načítaly nebezpečný JavaScript, který extrahuje obsah rozšířených atributů a spouští jej prostřednictvím backendu Rust. Falešná webová stránka se však zobrazí pouze v případě, že nejsou přítomny žádné rozšířené atributy.

Konečný cíl kampaně zůstává nejistý, zejména proto, že neexistují žádné důkazy o dalších nákladech nebo potvrzených obětech.

Naštěstí systémy macOS nabízejí určitou ochranu před objevenými vzorky. K zahájení útoku by uživatelé museli vypnout Gatekeeper tím, že obejdou vestavěné ochrany proti malwaru. K přesvědčení obětí k těmto akcím bude pravděpodobně zapotřebí určitá úroveň uživatelské interakce a sociálního inženýrství.