RustyAttr Mac Malware

Badacze odkryli, że atakujący stosują obecnie innowacyjną metodę, która wykorzystuje rozszerzone atrybuty w plikach macOS w celu ukrycia nowego zagrożenia znanego jako RustyAttr.

Ta nowa kampania została w rozsądny sposób powiązana z dobrze znaną Grupą Lazarus , która jest powiązana z Koreą Północną. Atrybucja opiera się na zaobserwowanych podobieństwach w infrastrukturze i taktykach związanych z wcześniejszymi kampaniami, w tym RustBucket.

Rozszerzone atrybuty odnoszą się do dodatkowych metadanych powiązanych z plikami i katalogami, do których można uzyskać dostęp za pomocą polecenia znanego jako xattr. Te atrybuty są zazwyczaj używane do przechowywania informacji wykraczających poza standardowe szczegóły, takie jak rozmiar pliku, znaczniki czasu i uprawnienia.

Zagrożenia aplikacji mają wiele połączeń

Badacze odkryli groźne aplikacje stworzone za pomocą Tauri, wieloplatformowego frameworka dla aplikacji desktopowych, i podpisane za pomocą wyciekłego certyfikatu, który Apple od tamtej pory unieważnił. Te aplikacje zawierają rozszerzony atrybut zaprojektowany do pobierania i wykonywania skryptu powłoki.

Gdy skrypt powłoki jest uruchomiony, aktywuje on również przynętę mającą na celu odwrócenie uwagi. Ta przynęta może wyświetlić komunikat o błędzie, stwierdzający, że „Ta aplikacja nie obsługuje tej wersji” lub wyświetlić niegroźny plik PDF związany z rozwojem i finansowaniem projektów gier.

Jak przebiega atak RustyAttr

Po uruchomieniu aplikacji struktura Tauri próbuje wyświetlić stronę internetową w formacie HTML przy użyciu obiektu WebView, przy czym atakujący wybiera losowy szablon pobrany z Internetu.

Co jest szczególnie godne uwagi, te strony internetowe są zaprojektowane tak, aby ładować niebezpieczny JavaScript, który wyodrębnia zawartość rozszerzonych atrybutów i wykonuje ją za pośrednictwem zaplecza Rust. Jednak fałszywa strona internetowa jest wyświetlana tylko wtedy, gdy nie ma rozszerzonych atrybutów.

Ostateczny cel kampanii pozostaje niepewny, zwłaszcza że nie ma dowodów na dodatkowe ładunki ani potwierdzonych ofiar.

Na szczęście systemy macOS oferują pewną ochronę przed odkrytymi próbkami. Aby zainicjować atak, użytkownicy musieliby wyłączyć Gatekeeper, omijając wbudowane zabezpieczenia przed złośliwym oprogramowaniem. Prawdopodobnie wymagany będzie pewien poziom interakcji użytkownika i inżynierii społecznej, aby przekonać ofiary do podjęcia tych działań.