Škodlivý softvér RustyAttr Mac
Výskumníci zistili, že aktéri hrozieb teraz využívajú inovatívnu metódu, ktorá využíva rozšírené atribúty v súboroch macOS na ukrytie novej hrozby známej ako RustyAttr.
Táto nová kampaň bola primerane spojená so známou skupinou Lazarus , ktorá je spojená so Severnou Kóreou. Pripisovanie je založené na pozorovaných podobnostiach v infraštruktúre a taktike súvisiacich s predchádzajúcimi kampaňami vrátane RustBucket.
Rozšírené atribúty odkazujú na doplnkové metadáta spojené so súbormi a adresármi, ku ktorým je možné pristupovať pomocou príkazu známeho ako xattr. Tieto atribúty sa zvyčajne používajú na ukladanie informácií nad rámec štandardných podrobností, ako je veľkosť súboru, časové pečiatky a povolenia.
Ohrozujúce aplikácie zdieľajú niekoľko pripojení
Výskumníci odhalili hrozivé aplikácie vytvorené pomocou Tauri, multiplatformového rámca pre desktopové aplikácie, a podpísané pomocou uniknutého certifikátu, ktorý Apple medzitým zrušil. Tieto aplikácie obsahujú rozšírený atribút určený na načítanie a spustenie skriptu shellu.
Keď sa spustí skript shellu, aktivuje aj návnadu, ktorá má odvrátiť pozornosť. Táto návnada môže zobrazovať chybové hlásenie „Táto aplikácia nepodporuje túto verziu“ alebo zobrazovať neškodné PDF súvisiace s vývojom a financovaním herného projektu.
Ako pokračuje útok RustyAttr
Po spustení aplikácie sa framework Tauri pokúsi zobraziť webovú stránku HTML pomocou WebView, pričom aktér hrozby vyberie náhodnú šablónu získanú z internetu.
Zvlášť pozoruhodné je, že tieto webové stránky sú navrhnuté tak, aby načítali nebezpečný JavaScript, ktorý extrahuje obsah rozšírených atribútov a spustí ho cez backend Rust. Falošná webová stránka sa však zobrazí iba vtedy, ak nie sú prítomné žiadne rozšírené atribúty.
Konečný cieľ kampane zostáva neistý, najmä preto, že neexistujú žiadne dôkazy o dodatočnom náklade alebo potvrdených obetiach.
Našťastie systémy macOS ponúkajú určitú ochranu pred objavenými vzorkami. Na spustenie útoku by používatelia museli vypnúť Gatekeeper obídením vstavaných bezpečnostných opatrení proti malvéru. Na presvedčenie obetí, aby vykonali tieto akcie, bude pravdepodobne potrebná určitá úroveň interakcie používateľa a sociálneho inžinierstva.
