RustyAttr Mac Malware

Forscher haben herausgefunden, dass Bedrohungsakteure jetzt eine innovative Methode einsetzen, die erweiterte Attribute in macOS-Dateien ausnutzt, um eine neue Bedrohung namens RustyAttr zu verbergen.

Diese neue Kampagne wurde logischerweise mit der bekannten Lazarus Group in Verbindung gebracht, die mit Nordkorea in Verbindung steht. Die Zuordnung basiert auf beobachteten Ähnlichkeiten in Infrastruktur und Taktiken im Zusammenhang mit früheren Kampagnen, einschließlich RustBucket.

Erweiterte Attribute beziehen sich auf ergänzende Metadaten, die mit Dateien und Verzeichnissen verknüpft sind und auf die mit einem Befehl namens xattr zugegriffen werden kann. Diese Attribute werden normalerweise verwendet, um Informationen zu speichern, die über Standarddetails wie Dateigröße, Zeitstempel und Berechtigungen hinausgehen.

Bedrohliche Anwendungen nutzen mehrere Verbindungen gemeinsam

Forscher haben bedrohliche Anwendungen entdeckt, die mit Tauri, einem plattformübergreifenden Framework für Desktop-Anwendungen, erstellt und mit einem durchgesickerten Zertifikat signiert wurden, das Apple inzwischen widerrufen hat. Diese Anwendungen enthalten ein erweitertes Attribut, das zum Abrufen und Ausführen eines Shell-Skripts dient.

Wenn das Shell-Skript ausgeführt wird, aktiviert es außerdem einen Köder, der die Aufmerksamkeit ablenken soll. Dieser Köder kann eine Fehlermeldung wie „Diese App unterstützt diese Version nicht“ oder eine harmlose PDF-Datei im Zusammenhang mit der Entwicklung und Finanzierung von Spieleprojekten anzeigen.

So läuft der RustyAttr-Angriff ab

Beim Starten der Anwendung versucht das Tauri-Framework, mithilfe einer WebView eine HTML-Webseite anzuzeigen, wobei der Bedrohungsakteur eine zufällige Vorlage aus dem Internet auswählt.

Besonders bemerkenswert ist, dass diese Webseiten so gestaltet sind, dass sie unsicheres JavaScript laden, welches den Inhalt der erweiterten Attribute extrahiert und über ein Rust-Backend ausführt. Allerdings wird die gefälschte Webseite nur angezeigt, wenn keine erweiterten Attribute vorhanden sind.

Das letztendliche Ziel der Kampagne bleibt unklar, insbesondere da es keine Hinweise auf zusätzliche Nutzlasten oder bestätigte Opfer gibt.

Glücklicherweise bieten macOS-Systeme einen gewissen Schutz vor den entdeckten Samples. Um den Angriff zu starten, müssten Benutzer Gatekeeper deaktivieren, indem sie die integrierten Malware-Schutzmechanismen umgehen. Um die Opfer zu diesen Aktionen zu bewegen, ist wahrscheinlich ein gewisses Maß an Benutzerinteraktion und Social Engineering erforderlich.