Hackerii folosesc o tehnică inedită care abuzează de atributele extinse ale fișierelor macOS pentru a livra un nou troian pe care cercetătorii îl numesc RustyAttr.
Actorul amenințării ascunde coduri malware în metadatele personalizate ale fișierelor și folosește, de asemenea, documente PDF de decoy pentru a ajuta la evitarea detectării.
Noua tehnică este similară cu modul în care adware-ul Bundlore în 2020 își ascundea payload-urile în furcile de resurse pentru a ascunde payload-uri pentru macOS. A fost descoperită în câteva mostre de malware în sălbăticie de cercetătorii de la compania de securitate cibernetică Group-IB.
În baza analizei lor și pentru că nu au putut confirma niciun victimă, cercetătorii atribuie mostrele actorului amenințării nord-coreean Lazarus cu încredere moderată. Ei cred că atacatorul ar putea să experimenteze cu o nouă soluție de livrare a malware-ului.
Metoda este neobișnuită și s-a dovedit a fi eficientă împotriva detectării, deoarece niciunul dintre agenții de securitate de pe platforma Virus Total nu a semnalat fișierele malware.
Atributele extinse macOS (EAs) reprezintă metadate ascunse asociate în mod tipic cu fișierele și directoarele, care nu sunt direct vizibile cu Finder sau terminalul, dar pot fi extrase folosind comanda ‘xattr’ pentru afișarea, editarea sau eliminarea atributelor extinse.
În cazul atacurilor RustyAttr, numele EA este ‘test’ și deține un script shell.
Aplicațiile malware care stochează EA sunt construite folosind cadrul Tauri, care combină un frontend web (HTML, JavaScript) care poate apela funcții pe un backend Rust.
Când aplicația rulează, încarcă o pagină web care conține un JavaScript (‘preload.js’) care obține conținutul din locația indicată în EA-ul ‘test’ și îl trimite la funcția ‘run_command’ pentru ca scriptul shell să fie executat.
Pentru a menține suspiciunea utilizatorului redusă în timpul acestui proces, unele mostre lansează fișiere PDF de decoy sau afișează dialoguri de eroare.
PDF-ul este preluat dintr-o instanță pCloud pentru partajarea publică a fișierelor care conține, de asemenea, intrări cu nume legate de subiecte de investiții în criptomonede, ceea ce se aliniază cu țintele și obiectivele lui Lazarus.
Câteva mostre de aplicații RustyAttr găsite de Group-IB trec toate testele de detectare pe Virus Total, iar aplicațiile erau semnate folosind un certificat furat, pe care Apple l-a retras de atunci, dar nu au fost notarizate.
Group-IB nu a putut recupera și analiza malware-ul de etapă următoare, dar a descoperit că serverul de etapă se conectează la un endpoint cunoscut în infrastructura lui Lazarus pentru a încerca să-l preia.
Cazul raportat de Group-IB este foarte similar cu un alt raport recent de la SentinelLabs, care a observat că actorul amenințării nord-coreean BlueNoroff experimentează cu tehnici similare, dar distincte, de evaziune în macOS.
BlueNoroff a folosit phishing tematic pe criptomonede pentru a atrage țintele să descarce o aplicație malware semnată și notarizată.
Aplicațiile foloseau un fișier ‘Info.plist’ modificat pentru a declanșa stealthily o conexiune malware la domeniul controlat de atacator de unde este preluat payload-ul de etapă a doua.
Este necunoscut dacă campaniile sunt legate, dar este obișnuit ca grupurile de activitate separate să folosească aceleași informații despre cum să pătrundă eficient în sistemele macOS fără a declanșa alarme.
Hackerii nord-coreeni creează aplicații Flutter pentru a evita securitatea macOS
Hackerii nord-coreeni folosesc un nou malware macOS împotriva firmelor de criptomonede
Malware-ul Linux ‘perfctl’ din spatele campaniei de criptomining de ani de zile
Microsoft investighează problema OneDrive care cauzează blocări ale aplicațiilor macOS
Hackerii folosesc acum concatenarea fișierelor ZIP pentru a evita detectarea
Leave a Reply