RustyAttr Mac-malware

Onderzoekers hebben vastgesteld dat kwaadwillenden nu een innovatieve methode gebruiken die gebruikmaakt van uitgebreide kenmerken in macOS-bestanden om een nieuwe bedreiging te verbergen die bekendstaat als RustyAttr.

Deze nieuwe campagne is redelijkerwijs gelinkt aan de bekende Lazarus Group , die geassocieerd wordt met Noord-Korea. De toeschrijving is gebaseerd op waargenomen overeenkomsten in infrastructuur en tactieken gerelateerd aan eerdere campagnes, waaronder RustBucket.

Uitgebreide kenmerken verwijzen naar aanvullende metadata die gekoppeld zijn aan bestanden en mappen, die toegankelijk zijn met een opdracht die bekend staat als xattr. Deze kenmerken worden doorgaans gebruikt om informatie op te slaan die verder gaat dan standaarddetails zoals bestandsgrootte, tijdstempels en machtigingen.

Bedreigende toepassingen delen meerdere verbindingen

Onderzoekers hebben bedreigende applicaties ontdekt die zijn gemaakt met Tauri, een cross-platform framework voor desktopapplicaties, en ondertekend met een gelekt certificaat dat Apple inmiddels heeft ingetrokken. Deze applicaties bevatten een uitgebreid kenmerk dat is ontworpen om een shellscript op te halen en uit te voeren.

Wanneer het shellscript draait, activeert het ook een lokaas dat bedoeld is om de aandacht af te leiden. Dit lokaas kan een foutmelding geven met de tekst "Deze app ondersteunt deze versie niet" of een onschuldige PDF weergeven die betrekking heeft op de ontwikkeling en financiering van gamingprojecten.

Hoe de RustyAttr-aanval verloopt

Wanneer de applicatie wordt gestart, probeert het Tauri-framework een HTML-webpagina weer te geven met behulp van een WebView, waarbij de kwaadwillende partij een willekeurige sjabloon van internet selecteert.

Wat met name opvalt, is dat deze webpagina's zijn ontworpen om onveilige JavaScript te laden, die de inhoud van de uitgebreide kenmerken extraheert en uitvoert via een Rust-backend. De nepwebpagina wordt echter alleen weergegeven als er geen uitgebreide kenmerken aanwezig zijn.

Het uiteindelijke doel van de campagne blijft onzeker, vooral omdat er geen bewijs is van extra ladingen of bevestigde slachtoffers.

Gelukkig bieden macOS-systemen enige bescherming tegen de ontdekte samples. Om de aanval te starten, moeten gebruikers Gatekeeper uitschakelen door de ingebouwde malwarebeveiligingen te omzeilen. Er zal waarschijnlijk een bepaald niveau van gebruikersinteractie en social engineering nodig zijn om slachtoffers te overtuigen deze acties te ondernemen.