RustyAttr Mac Kötü Amaçlı Yazılım
Araştırmacılar, tehdit aktörlerinin artık macOS dosyalarındaki genişletilmiş özniteliklerden yararlanarak RustyAttr adı verilen yeni bir tehdidi gizlemek için yenilikçi bir yöntem kullandığını tespit etti.
Bu yeni kampanya, Kuzey Kore ile ilişkilendirilen iyi bilinen Lazarus Group ile makul bir şekilde ilişkilendirildi. Atıf, RustBucket dahil olmak üzere önceki kampanyalarla ilgili altyapı ve taktiklerde gözlemlenen benzerliklere dayanmaktadır.
Genişletilmiş öznitelikler, xattr olarak bilinen bir komut kullanılarak erişilebilen dosyalara ve dizinlere bağlı ek meta verileri ifade eder. Bu öznitelikler genellikle dosya boyutu, zaman damgaları ve izinler gibi standart ayrıntıların ötesinde bilgileri depolamak için kullanılır.
Tehdit Edici Uygulamalar Birkaç Bağlantıyı Paylaşır
Araştırmacılar, masaüstü uygulamaları için platformlar arası bir çerçeve olan Tauri ile oluşturulmuş ve Apple'ın o zamandan beri iptal ettiği sızdırılmış bir sertifika kullanılarak imzalanmış tehdit edici uygulamaları ortaya çıkardı. Bu uygulamalar, bir kabuk betiğini almak ve yürütmek için tasarlanmış genişletilmiş bir öznitelik içerir.
Kabuk betiği çalıştığında, dikkati başka yöne çekmeyi amaçlayan bir aldatmacayı da etkinleştirir. Bu aldatmaca, "Bu uygulama bu sürümü desteklemiyor" şeklinde bir hata mesajı gösterebilir veya oyun projesi geliştirme ve finansmanıyla ilgili zararsız bir PDF görüntüleyebilir.
RustyAttr Saldırısı Nasıl Gerçekleşiyor
Uygulama başlatıldığında, Tauri çerçevesi bir WebView kullanarak bir HTML Web sayfası görüntülemeye çalışır ve tehdit aktörü İnternet'ten alınan rastgele bir şablonu seçer.
Özellikle dikkat çekici olan, bu web sayfalarının, genişletilmiş özniteliklerin içeriğini çıkaran ve bunu bir Rust arka ucu aracılığıyla yürüten güvenli olmayan JavaScript'i yüklemek üzere tasarlanmış olmasıdır. Ancak, sahte Web sayfası yalnızca genişletilmiş öznitelikler mevcut değilse gösterilir.
Kampanyanın nihai hedefi henüz belirsizliğini koruyor, özellikle de ek yükler veya doğrulanmış kurbanlara dair bir kanıt olmaması nedeniyle.
Neyse ki macOS sistemleri keşfedilen örneklere karşı bir miktar koruma sağlıyor. Saldırıyı başlatmak için kullanıcıların Gatekeeper'ı yerleşik kötü amaçlı yazılım korumalarını atlatarak devre dışı bırakmaları gerekir. Kurbanları bu eylemleri yapmaya ikna etmek için muhtemelen bir miktar kullanıcı etkileşimi ve sosyal mühendislik gerekecektir.
