RustyAttr Mac Malware
Natukoy ng mga mananaliksik na ang mga aktor ng pagbabanta ay gumagamit na ngayon ng isang makabagong pamamaraan na sinasamantala ang mga pinahabang katangian sa mga macOS file upang itago ang isang bagong banta na kilala bilang RustyAttr.
Ang bagong campaign na ito ay makatuwirang na-link sa kilalang Lazarus Group , na nauugnay sa North Korea. Ang pagpapatungkol ay batay sa mga nakitang pagkakatulad sa imprastraktura at mga taktika na nauugnay sa mga naunang kampanya, kabilang ang RustBucket.
Ang mga pinahabang katangian ay tumutukoy sa karagdagang metadata na naka-link sa mga file at direktoryo, na maaaring ma-access gamit ang isang command na kilala bilang xattr. Ang mga katangiang ito ay karaniwang ginagamit upang mag-imbak ng impormasyon na lampas sa mga karaniwang detalye tulad ng laki ng file, mga timestamp, at mga pahintulot.
Nagbabahagi ang Mga Aplikasyon na Nagbabanta ng Ilang Koneksyon
Natuklasan ng mga mananaliksik ang mga nagbabantang application na ginawa gamit ang Tauri, isang cross-platform na framework para sa mga desktop application, at nilagdaan ito gamit ang isang leaked na certificate na binawi ng Apple. Kasama sa mga application na ito ang isang pinahabang katangian na idinisenyo upang kunin at isagawa ang isang script ng shell.
Kapag tumakbo ang shell script, nag-a-activate din ito ng decoy na nilalayon para ilihis ang atensyon. Maaaring magpakita ang decoy na ito ng mensahe ng error na nagsasabing, "Hindi sinusuportahan ng app na ito ang bersyong ito," o magpakita ng hindi nakapipinsalang PDF na nauugnay sa pagbuo at pagpopondo ng gaming project.
Paano Nagpapatuloy ang RustyAttr Attack
Kapag ang application ay inilunsad, ang Tauri framework ay sumusubok na magpakita ng isang HTML Web page gamit ang isang WebView, kasama ang threat actor na pumipili ng random na template na nagmula sa Internet.
Ang partikular na kapansin-pansin ay ang mga webpage na ito ay idinisenyo upang mag-load ng hindi ligtas na JavaScript, na kumukuha ng nilalaman ng mga pinahabang katangian at isinasagawa ito sa pamamagitan ng isang Rust backend. Gayunpaman, ang pekeng Web page ay ipinapakita lamang kung walang mga pinahabang katangian na naroroon.
Ang pangwakas na layunin ng kampanya ay nananatiling hindi tiyak, lalo na dahil walang ebidensya ng karagdagang mga kargamento o kumpirmadong biktima.
Sa kabutihang palad, ang mga macOS system ay nag-aalok ng ilang proteksyon laban sa mga natuklasang sample. Upang simulan ang pag-atake, kakailanganin ng mga user na i-disable ang Gatekeeper sa pamamagitan ng pag-bypass sa mga built-in na proteksyon sa malware. Ang ilang antas ng pakikipag-ugnayan ng user at social engineering ay malamang na kinakailangan upang hikayatin ang mga biktima na gawin ang mga pagkilos na ito.
