Шкідливе програмне забезпечення для Mac RustyAttr

Дослідники виявили, що зловмисники зараз використовують інноваційний метод, який використовує переваги розширених атрибутів у файлах macOS, щоб приховати нову загрозу, відому як RustyAttr.

Цю нову кампанію обґрунтовано пов’язують із відомою групою Lazarus Group , яка пов’язана з Північною Кореєю. Атрибуція заснована на спостережуваній подібності в інфраструктурі та тактиці, пов’язаних із попередніми кампаніями, включаючи RustBucket.

Розширені атрибути стосуються додаткових метаданих, пов’язаних із файлами та каталогами, до яких можна отримати доступ за допомогою команди, відомої як xattr. Ці атрибути зазвичай використовуються для зберігання інформації, окрім стандартних деталей, таких як розмір файлу, мітки часу та дозволи.

Загрозливі програми спільно використовують кілька підключень

Дослідники виявили загрозливі додатки, створені за допомогою Tauri, кросплатформної системи для настільних програм, і підписані за допомогою витоку сертифіката, який Apple згодом відкликала. Ці програми містять розширений атрибут, призначений для отримання та виконання сценарію оболонки.

Під час запуску сценарію оболонки він також активує приманку, призначену для відволікання уваги. Ця приманка може відображати повідомлення про помилку «Ця програма не підтримує цю версію» або відображати нешкідливий PDF-файл, пов’язаний із розробкою та фінансуванням ігрового проекту.

Як відбувається атака RustyAttr

Коли програма запускається, фреймворк Tauri намагається відобразити веб-сторінку HTML за допомогою WebView, при цьому суб’єкт загрози вибирає випадковий шаблон, отриманий з Інтернету.

Особливо варто відзначити те, що ці веб-сторінки розроблено для завантаження небезпечного JavaScript, який витягує вміст розширених атрибутів і виконує його через серверну частину Rust. Однак фальшива веб-сторінка відображається лише за відсутності розширених атрибутів.

Кінцева мета кампанії залишається невизначеною, особливо тому, що немає доказів додаткових корисних навантажень або підтверджених жертв.

На щастя, системи macOS пропонують певний захист від виявлених зразків. Щоб ініціювати атаку, користувачам потрібно вимкнути Gatekeeper, обійшовши вбудовані засоби захисту від зловмисного програмного забезпечення. Ймовірно, знадобиться певний рівень взаємодії з користувачем і соціальна інженерія, щоб переконати жертв вжити цих дій.