Istraživači su otkrili novi pristup koji koristi hakeri za prikrivanje kodova korištenjem proširenih atributa kako bi se izbjeglo otkrivanje na macOS uređajima.
Prošireni atributi su metapodaci koji se mogu povezati sa datotekama i direktorijumima različitih sistema datoteka. Omogućuju korisnicima da zadrže više detalja o datoteci od samo tipičnih atributa, kao što su dozvole, vremenske oznake i veličina datoteke.
Najsličnija metoda otkrivena tokom istraživanja malicioznog softvera koji koristi proširene atribute bila je 2020. godine, kada je Bundlore adware sakrio svoj korisni teret u račvama resursa i pristupao mu se putem jedinstvene putanje `filename/..namedfork/rsrc`.
Uzorci se pripisuju APT Lazarus sa srednjim stepenom pouzdanosti, prema ekspertima Group-IB. Budući da su vidjeli samo mali broj uzoraka u divljini, istraživači nisu u mogućnosti potvrditi da je bilo žrtava ove incidencije.
Pregled toka
Pronađeni maliciozni softver nazvan je “RustyAttr” i razvio ga je Lazarus koristeći Tauri framework.
U nekoliko sistema datoteka, datoteke i direktoriji mogu biti povezani sa metapodacima koji se nazivaju prošireni atributi (EA). Iako ih Finder i Terminal ne prikazuju direktno, lako možemo izdvojiti i pogledati atribute pomoću `xattr`.
Istraživači kažu da je haker definisao prošireni atribut prilagođenog tipa “test”.
.webp)
Tauri je okvir za kreiranje laganih desktop aplikacija zasnovanih na webu. Omogućava programerima da koriste Rust za pozadinu i web frontend (HTML, CSS i JavaScript) za kreiranje aplikacija.
U proširenim atributima, maliciozna skripta će biti dohvaćena i izvršena od strane aplikacije.
Istraživači su identifikovali dvije kategorije mamaca. Prva vrsta mamaca zaista preuzima PDF datoteku sa filedn[.]com, usluge hostinga datoteka.
“Upitnik za donošenje odluka o ulaganjima” sadrži pitanja o razvoju i finansiranju projekta igre. Drugi mamac prikazuje samo dijaloški okvir s riječima: “Ova aplikacija ne podržava ovu verziju.”
Kada se Tauri aplikacija pokrene, pokušava da koristi WebView da prikaže HTML web stranicu. TA je koristio nasumični šablon koji je preuzet sa interneta.
Ali istraživači su vidjeli da je još jedan sumnjivi dio javascripta pod nazivom “preload.js” učitan na ove stranice.
.webp)
Funkcija ‘pozivanja’ u Tauri je sučelje za programiranje aplikacija (API) koje promovira komunikaciju između frontenda (JavaScript) i pozadine (Rust), omogućavajući frontendu da poziva Rust funkcije, šalje argumente i prima podatke.
“ U vrijeme naše analize, datoteke su u potpunosti neotkrivene na VirusTotalu , vjerovatno zbog činjenice da su maliciozne komponente skrivene unutar atributa”, rekli su istraživači.
Preporuka
- Pazite na zahtjeve za preuzimanje, otvaranje ili izvršavanje datoteka.
- Nikada nemojte isključivati macOS Gatekeeper i ne dozvoliti aplikacije nepoznatih programera.
- Morate biti na oprezu cijelo vrijeme kako bi kompanija bila sigurna
Izvor: CyberSecurityNews
