RustyAttr Mac Malware

Forskere har identificeret, at trusselsaktører nu bruger en innovativ metode, der udnytter udvidede attributter i macOS-filer til at skjule en ny trussel kendt som RustyAttr.

Denne nye kampagne har med rimelighed været forbundet med den velkendte Lazarus Group , som er forbundet med Nordkorea. Tilskrivningen er baseret på observerede ligheder i infrastruktur og taktik relateret til tidligere kampagner, inklusive RustBucket.

Udvidede attributter henviser til supplerende metadata knyttet til filer og mapper, som kan tilgås ved hjælp af en kommando kendt som xattr. Disse attributter bruges typisk til at gemme information ud over standarddetaljer som filstørrelse, tidsstempler og tilladelser.

Truende applikationer deler flere forbindelser

Forskere har afsløret truende applikationer, der er oprettet med Tauri, en cross-platform framework til desktop applikationer, og underskrevet ved hjælp af et lækket certifikat, som Apple siden har tilbagekaldt. Disse applikationer inkluderer en udvidet attribut designet til at hente og udføre et shell-script.

Når shell-scriptet kører, aktiverer det også et lokkemiddel, der skal aflede opmærksomheden. Dette lokkemiddel kan vise en fejlmeddelelse, der siger: "Denne app understøtter ikke denne version" eller vise en uskadelig PDF relateret til udvikling og finansiering af spilprojekter.

Hvordan RustyAttr-angrebet forløber

Når applikationen startes, forsøger Tauri-rammeværket at vise en HTML-webside ved hjælp af en WebView, hvor trusselsaktøren vælger en tilfældig skabelon hentet fra internettet.

Det, der er særligt bemærkelsesværdigt, er, at disse websider er designet til at indlæse usikker JavaScript, som udtrækker indholdet af de udvidede attributter og udfører det gennem en Rust-backend. Den falske webside vises dog kun, hvis ingen udvidede attributter er til stede.

Kampagnens endelige mål er fortsat usikkert, især da der ikke er beviser for yderligere nyttelast eller bekræftede ofre.

Heldigvis tilbyder macOS-systemer en vis beskyttelse mod de opdagede prøver. For at starte angrebet skal brugere deaktivere Gatekeeper ved at omgå de indbyggede malware-beskyttelsesforanstaltninger. En vis grad af brugerinteraktion og social manipulation vil sandsynligvis være påkrævet for at overtale ofrene til at tage disse handlinger.