Nova Opasnost za macOS: Malware RustyAttr Od Grupe Lazarus
Cijenjeni istražitelji cyber sigurnosti otkrili su još jedan zlonamjerni softver za macOS, za koji se vjeruje da ga je izradila poznata sjevernokrajska grupa Lazarus. Ova saznanja dolaze od kompanije Group-IB, koja je izvijestila o otkriću novog zlonamjernog softvera pod nazivom RustyAttr, kojeg je izradila uz pomoć Tauri okvira.
Što je RustyAttr?
RustyAttr predstavlja inovativni oblik zlonamjernog softvera koji nije bio prepoznat na VirusTotalu i koji je, u jednom trenutku, bio potpisan legitimnim Apple developer ID-om. Ovaj ID je kasnije opozvan. Prije nego što je RustyAttr otkriven, istraživači iz Jamfa pronašli su sličnu prijetnju — aplikaciju koja se na prvi pogled činila bezopasnom, ali je služila kao stražnja vrata za macOS korisnike.
Obfuscation Metode
U oba slučaja, korištene su nove metode obfuscationa, ali zlonamjerni softver nije bio potpuno operativan. Istraživači vjeruju da se radi o eksperimentima, jer kriminalci traže nove načine za skrivanje infekcija. RustyAttr se otkrio kao zlonamjerni softver koji zlorabi proširene atribute (xattrs) za macOS.
Kako Funkcionira?
- Prošireni atributi (xattrs) omogućuju datotekama i direktorijima pohranu dodatnog metapodatka.
- Ovo uključuje informacije o sigurnosti, označavanje datoteka specifičnim metapodacima i omogućavanje kompatibilnosti s drugim datotečnim sustavima.
- U slučaju RustyAttr, naziv EA bio je “test” i sadržava shell skriptu.
Kada zlonamjerni softver bude aktiviran, učitava web stranicu s JavaScript kodom, nazvanim preload.js, koji povlači sadržaj iz “test” lokacije. Ova lokacija se potom šalje funkciji ‘run_command’, gdje se izvršava shell skripta. U tom procesu, žrtva je prevarena lažnim PDF dokumentom ili lažnom porukom o pogrešci koja se pojavljuje u prvom planu.
Zaključak
Iako istraživači smatraju da je RustyAttr najvjerojatnije izradila grupa Lazarus, još uvijek nema prijavljenih žrtava, stoga ne mogu biti potpuno sigurni. No, sasvim su uvjereni da je ovaj zlonamjerni softver stvoren radi testiranja novih metoda isporuke i obfuscationa na macOS uređajima. Uvijek budite oprezni s aplikacijama koje preuzimate i imajte na umu sigurnosne prakse kako biste se zaštitili od potencijalnih prijetnji poput RustyAttr.
