RustyAttr Вредоносное ПО для Mac

Исследователи выявили, что злоумышленники теперь применяют инновационный метод, который использует расширенные атрибуты в файлах macOS для сокрытия новой угрозы, известной как RustyAttr.

Эта новая кампания обоснованно связана с известной группой Lazarus Group , которая ассоциируется с Северной Кореей. Атрибуция основана на наблюдаемых сходствах в инфраструктуре и тактике, связанных с более ранними кампаниями, включая RustBucket.

Расширенные атрибуты относятся к дополнительным метаданным, связанным с файлами и каталогами, доступ к которым можно получить с помощью команды, известной как xattr. Эти атрибуты обычно используются для хранения информации, выходящей за рамки стандартных сведений, таких как размер файла, временные метки и разрешения.

Угрожающие приложения используют несколько подключений

Исследователи обнаружили опасные приложения, созданные с помощью Tauri, кроссплатформенного фреймворка для настольных приложений, и подписанные с использованием утекшего сертификата, который Apple с тех пор отозвала. Эти приложения включают расширенный атрибут, предназначенный для извлечения и выполнения скрипта оболочки.

Когда скрипт оболочки запускается, он также активирует приманку, предназначенную для отвлечения внимания. Эта приманка может выдавать сообщение об ошибке «Это приложение не поддерживает эту версию» или отображать безобидный PDF-файл, связанный с разработкой и финансированием игрового проекта.

Как происходит атака RustyAttr

При запуске приложения фреймворк Tauri пытается отобразить HTML-страницу с помощью WebView, при этом злоумышленник выбирает случайный шаблон, полученный из Интернета.

Что особенно примечательно, так это то, что эти веб-страницы разработаны для загрузки небезопасного JavaScript, который извлекает содержимое расширенных атрибутов и выполняет его через бэкэнд Rust. Однако поддельная веб-страница отображается только в том случае, если отсутствуют расширенные атрибуты.

Конечная цель кампании остается неопределенной, особенно с учетом отсутствия доказательств наличия дополнительных боезарядов или подтвержденных жертв.

К счастью, системы macOS предлагают некоторую защиту от обнаруженных образцов. Чтобы начать атаку, пользователям необходимо отключить Gatekeeper, обойдя встроенные средства защиты от вредоносного ПО. Вероятно, потребуется определенный уровень взаимодействия с пользователем и социальной инженерии, чтобы убедить жертв предпринять эти действия.