RustyAttr Mac Malware
Forskere har identifisert at trusselaktører nå bruker en innovativ metode som utnytter utvidede attributter i macOS-filer for å skjule en ny trussel kjent som RustyAttr.
Denne nye kampanjen har vært rimelig knyttet til den velkjente Lazarus Group , som er tilknyttet Nord-Korea. Attribusjonen er basert på observerte likheter i infrastruktur og taktikk relatert til tidligere kampanjer, inkludert RustBucket.
Utvidede attributter refererer til supplerende metadata knyttet til filer og kataloger, som kan nås ved hjelp av en kommando kjent som xattr. Disse attributtene brukes vanligvis til å lagre informasjon utover standarddetaljer som filstørrelse, tidsstempler og tillatelser.
Truende applikasjoner deler flere forbindelser
Forskere har avdekket truende applikasjoner laget med Tauri, et rammeverk på tvers av plattformer for skrivebordsapplikasjoner, og signert med et lekket sertifikat som Apple siden har tilbakekalt. Disse applikasjonene inkluderer et utvidet attributt designet for å hente og kjøre et skallskript.
Når skallskriptet kjører, aktiverer det også et lokkemiddel som er ment å avlede oppmerksomheten. Dette lokkemiddelet kan vise en feilmelding som sier «Denne appen støtter ikke denne versjonen», eller vise en ufarlig PDF relatert til utvikling og finansiering av spillprosjekter.
Hvordan RustyAttr-angrepet fortsetter
Når applikasjonen startes, prøver Tauri-rammeverket å vise en HTML-webside ved hjelp av en WebView, med trusselaktøren som velger en tilfeldig mal hentet fra Internett.
Det som er spesielt bemerkelsesverdig er at disse nettsidene er designet for å laste ut usikker JavaScript, som trekker ut innholdet i de utvidede attributtene og kjører det gjennom en Rust-backend. Den falske nettsiden vises imidlertid bare hvis ingen utvidede attributter er til stede.
Kampanjens endelige mål er fortsatt usikkert, spesielt siden det ikke er bevis for ytterligere nyttelast eller bekreftede ofre.
Heldigvis tilbyr macOS-systemer en viss beskyttelse mot de oppdagede prøvene. For å starte angrepet, må brukere deaktivere Gatekeeper ved å omgå de innebygde sikkerhetstiltakene for skadelig programvare. Et visst nivå av brukerinteraksjon og sosial utvikling vil sannsynligvis være nødvendig for å overtale ofrene til å ta disse handlingene.
