RustyAttr Mac 맬웨어

연구자들은 위협 행위자들이 이제 macOS 파일의 확장된 속성을 이용하는 혁신적인 방법을 사용하여 RustyAttr이라는 새로운 위협을 숨기고 있다는 것을 확인했습니다.

이 새로운 캠페인은 북한과 관련된 잘 알려진 Lazarus Group 과 합리적으로 연결되었습니다. 이러한 귀속은 RustBucket을 포함한 이전 캠페인과 관련된 인프라와 전술의 관찰된 유사성에 기반합니다.

확장된 속성은 파일과 디렉토리에 연결된 보충 메타데이터를 말하며, xattr이라는 명령을 사용하여 액세스할 수 있습니다. 이러한 속성은 일반적으로 파일 크기, 타임스탬프, 권한과 같은 표준 세부 정보를 넘어서는 정보를 저장하는 데 사용됩니다.

위협적인 애플리케이션은 여러 연결을 공유합니다.

연구자들은 데스크톱 애플리케이션을 위한 크로스 플랫폼 프레임워크인 Tauri로 만들어지고 Apple이 취소한 유출된 인증서를 사용하여 서명된 위협적인 애플리케이션을 발견했습니다. 이러한 애플리케이션에는 셸 스크립트를 검색하고 실행하도록 설계된 확장된 속성이 포함되어 있습니다.

셸 스크립트가 실행되면 주의를 돌리기 위한 미끼도 활성화됩니다. 이 미끼는 "이 앱은 이 버전을 지원하지 않습니다"라는 오류 메시지를 표시하거나 게임 프로젝트 개발 및 자금 조달과 관련된 무해한 PDF를 표시할 수 있습니다.

RustyAttr 공격이 진행되는 방식

애플리케이션이 시작되면 Tauri 프레임워크는 WebView를 사용하여 HTML 웹 페이지를 표시하려고 시도하고, 위협 행위자는 인터넷에서 가져온 무작위 템플릿을 선택합니다.

특히 주목할 점은 이러한 웹페이지가 안전하지 않은 JavaScript를 로드하도록 설계되어 확장된 속성의 내용을 추출하여 Rust 백엔드를 통해 실행한다는 것입니다. 그러나 가짜 웹페이지는 확장된 속성이 없는 경우에만 표시됩니다.

이 작전의 궁극적인 목표는 여전히 불확실한데, 특히 추가 탑재물이나 확인된 희생자에 대한 증거가 없기 때문이다.

다행히도 macOS 시스템은 발견된 샘플에 대한 일부 보호 기능을 제공합니다. 공격을 시작하려면 사용자는 내장된 맬웨어 보호 장치를 우회하여 Gatekeeper를 비활성화해야 합니다. 피해자가 이러한 조치를 취하도록 설득하려면 어느 정도의 사용자 상호 작용과 소셜 엔지니어링이 필요할 것입니다.