Er zijn bedreigingsactoren aangetroffen die gebruik maken van een nieuwe techniek die misbruik maakt van uitgebreide kenmerken voor macOS-bestanden om een nieuwe malware te smokkelen, genaamd RustyAttr.
Het Singaporese cyberbeveiligingsbedrijf heeft de nieuwe activiteit met matig vertrouwen toegeschreven aan de beruchte, met Noord-Korea verbonden Lazarus Group, daarbij verwijzend naar infrastructuur en tactische overlappingen die zijn waargenomen in verband met eerdere campagnes, waaronder RustBucket.
Uitgebreide attributen verwijzen naar aanvullende metagegevens die zijn gekoppeld aan bestanden en mappen die kunnen worden geëxtraheerd met behulp van een speciaal commando genaamd xattr. Ze worden vaak gebruikt om informatie op te slaan die verder gaat dan de standaardkenmerken, zoals bestandsgrootte, tijdstempels en machtigingen.
De kwaadaardige applicaties die door Group-IB zijn ontdekt, zijn gebouwd met behulp van Tauri, een platformonafhankelijk desktopapplicatieframework, en ondertekend met een uitgelekt certificaat dat inmiddels door Apple is ingetrokken. Ze bevatten een uitgebreid kenmerk dat is geconfigureerd om een shellscript op te halen en uit te voeren.
De uitvoering van het shell-script activeert ook een lokvogel, die dient als afleidingsmechanisme door ofwel een foutmelding weer te geven “Deze app ondersteunt deze versie niet” of een ogenschijnlijk onschadelijk PDF-document met betrekking tot de ontwikkeling en financiering van gameprojecten.
“Na het uitvoeren van de applicatie probeert de Tauri-applicatie een HTML-webpagina weer te geven met behulp van een WebView”, aldus Group-IB-beveiligingsonderzoeker Sharmine Low. “De (bedreigingsacteur) gebruikte een willekeurige sjabloon die van internet was gehaald.”
Maar wat ook opmerkelijk is, is dat deze webpagina’s zijn ontworpen om kwaadaardig JavaScript te laden, dat vervolgens de inhoud van de uitgebreide attributen verkrijgt en deze uitvoert via een Rust-backend. Dat gezegd hebbende, wordt de nep-webpagina uiteindelijk alleen weergegeven als er geen uitgebreide attributen zijn.
Het einddoel van de campagne blijft onduidelijk, vooral in het licht van het feit dat er geen bewijs is van verdere ladingen of bevestigde slachtoffers.
“Gelukkig bieden macOS-systemen een bepaald niveau van bescherming voor de gevonden monsters”, zegt Low. “Om de aanval uit te lokken moeten gebruikers Gatekeeper uitschakelen door de bescherming tegen malware te overschrijven. Het is waarschijnlijk dat een zekere mate van interactie en social engineering nodig zal zijn om slachtoffers ervan te overtuigen deze stappen te ondernemen.”
De ontwikkeling komt doordat Noord-Koreaanse bedreigingsactoren zich bezighouden met uitgebreide campagnes die tot doel hebben afgelegen posities bij bedrijven over de hele wereld veilig te stellen, en huidige werknemers die bij cryptocurrency-bedrijven werken te misleiden om malware te downloaden onder het voorwendsel van codeerinterviews.
