RustyAttr Mac Malware

Pesquisadores descobriram que os agentes de ameaças agora estão empregando um método inovador que aproveita atributos estendidos em arquivos macOS para ocultar uma nova ameaça conhecida como RustyAttr.

Esta nova campanha foi razoavelmente vinculada ao conhecido Lazarus Group, que é associado à Coreia do Norte. A atribuição é baseada em similaridades observadas em infraestrutura e táticas relacionadas a campanhas anteriores, incluindo RustBucket.

Atributos estendidos referem-se a metadados suplementares vinculados a arquivos e diretórios, que podem ser acessados usando um comando conhecido como xattr. Esses atributos são normalmente usados para armazenar informações além de detalhes padrão como tamanho do arquivo, carimbos de data/hora e permissões.

Aplicativos Ameaçadoras Compartilham Várias Conexões

Os pesquisadores descobriram aplicativos ameaçadores criados com Tauri, uma estrutura multiplataforma para aplicativos de desktop, e assinados usando um certificado vazado que a Apple revogou desde então. Esses aplicativos incluem um atributo estendido projetado para recuperar e executar um script de shell.

Quando o script de shell é executado, ele também ativa um chamariz com a intenção de desviar a atenção. Esse chamariz pode apresentar uma mensagem de erro dizendo "Este aplicativo não suporta esta versão" ou exibir um PDF inócuo relacionado ao desenvolvimento e financiamento de projetos de jogos.

Como o Ataque do RustyAttr Acontece

Quando o aplicativo é iniciado, a estrutura Tauri tenta exibir uma página da Web HTML usando um WebView, com o agente da ameaça selecionando um modelo aleatório proveniente da Internet.

O que é particularmente notável é que essas páginas da web são projetadas para carregar JavaScript inseguro, que extrai o conteúdo dos atributos estendidos e o executa por meio de um backend Rust. No entanto, a página da Web falsa só é mostrada se nenhum atributo estendido estiver presente.

O objetivo final da campanha permanece incerto, especialmente porque não há evidências de cargas adicionais ou vítimas confirmadas.

Felizmente, os sistemas macOS oferecem alguma proteção contra as amostras descobertas. Para iniciar o ataque, os usuários precisariam desabilitar o Gatekeeper ignorando as proteções de malware integradas. Algum nível de interação do usuário e engenharia social provavelmente serão necessários para persuadir as vítimas a tomar essas ações.