- Beveiligingsonderzoekers van Group-IB ontdekken uniek nieuw stukje malware
- Het maakt misbruik van uitgebreide kenmerken voor macOS-bestanden om de payload te implementeren
- De malware is hoogstwaarschijnlijk gebouwd door Noord-Koreaanse staatsgesponsorde actoren
Cybersecurity-onderzoekers zijn er nog een tegengekomen malware variant voor macOS waarschijnlijk gebouwd door de beruchte Noord-Koreaanse Lazarus-groep.
Het rapport van Group-IB betreft de ontdekking van RustyAttr, een gloednieuw stukje macOS-malware gebouwd met behulp van het Tauri-framework. T
De malware werd niet gemarkeerd op VirusTotal en werd op een gegeven moment ondertekend met een legitieme Appel ontwikkelaar-ID. Het identiteitsbewijs is inmiddels ingetrokken.
Uitgebreide attributen
Dagen daarvoor ontdekten onderzoekers van Jamf iets soortgelijks – een ogenschijnlijk goedaardige app op VirusTotal, gebouwd met Flutter, en dient als achterdeur voor macOS-slachtoffers.
In beide gevallen gebruikte de malware nieuwe verduisteringsmethoden, maar was deze nog niet volledig operationeel, waardoor de onderzoekers dachten dat het slechts experimenten waren, terwijl boeven op zoek gingen naar nieuwe manieren om de infectie te verbergen.
RustyAttr bleek misbruik te maken van uitgebreide attributen voor macOS, beweren de onderzoekers.
Uitgebreide attributen (xattrs) zijn een functie waarmee bestanden en mappen aanvullende metagegevens kunnen opslaan naast standaardattributen zoals naam, grootte en machtigingen. Ze worden voor verschillende dingen gebruikt, van het opslaan van beveiligingsgerelateerde informatie tot het taggen van bestanden met specifieke metagegevens en het mogelijk maken van compatibiliteit met andere bestandssystemen. In dit geval was de EA-naam “test” en bevat deze een shellscript.
Wanneer de malware wordt uitgevoerd, laadt deze een website met een stukje JavaScript. Dit JavaScript, genaamd preload.js, haalt inhoud uit „test“, wat een locatie lijkt te zijn. Deze locatie wordt vervolgens naar de functie 'run_command' gestuurd, waar het shellscript deze uitvoert.
Terwijl het proces aan de gang is, wordt het slachtoffer misleid met een lok-PDF-bestand of een valse foutmelding die op de voorgrond verschijnt.
RustyAttr is hoogstwaarschijnlijk gebouwd door Lazarus, zeiden de onderzoekers, hoewel ze, aangezien er geen slachtoffers zijn gemeld, er niet absoluut zeker van kunnen zijn. Ze zijn er echter van overtuigd dat de malware is gebouwd om nieuwe leverings- en verduisteringsmethoden op macOS-apparaten te testen.
Via BleepingComputer
