Agentes de ameaça foram encontrados utilizando uma nova técnica que abusa dos atributos estendidos dos arquivos no macOS para infiltrar um novo malware chamado RustyAttr.
A empresa de cibersegurança de Singapura atribuiu a atividade inovadora, com moderada confiança, ao infame Grupo Lazarus, vinculado à Coreia do Norte, citando sobreposições de infraestrutura e táticas observadas em conexão com campanhas anteriores, incluindo RustBucket.
Atributos estendidos referem-se a metadados adicionais associados a arquivos e diretórios que podem ser extraídos usando um comando dedicado chamado xattr.
Eles são frequentemente usados para armazenar informações que vão além dos atributos padrão, como tamanho de arquivo, timestamps e permissões.
As aplicações maliciosas descobertas pela Group-IB são construídas usando Tauri, um framework de aplicação desktop multiplataforma, e assinadas com um certificado vazado que desde então foi revogado pela Apple.
Elas incluem um atributo estendido configurado para buscar e executar um shell script.
A execução do shell script também desencadeia um isco, que serve como um mecanismo de distração ao exibir uma mensagem de erro "Este aplicativo não suporta esta versão" ou um documento PDF aparentemente inofensivo relacionado ao desenvolvimento e financiamento de projetos de jogos.
"Ao executar a aplicação, a aplicação Tauri tenta renderizar uma página HTML usando um WebView," disse a pesquisadora de segurança da Group-IB, Sharmine Low.
"O [agente de ameaça] usou algum template aleatório retirado da internet." Mas o que também é notável é que essas páginas web são projetadas para carregar um JavaScript malicioso, que então obtém o conteúdo dos atributos estendidos e executa-o por meio de um backend em Rust.
Dito isso, a página web falsa é eventualmente exibida apenas nos casos em que não existem atributos estendidos.
O objetivo final da campanha permanece incerto, especialmente à luz do fato de que não houve evidências de quaisquer outros payloads ou vítimas confirmadas.
"Por sorte, os sistemas macOS fornecem algum nível de proteção para as amostras encontradas," disse Low.
Para desencadear o ataque, os usuários devem desativar o Gatekeeper, anulando a proteção contra malware.
É provável que algum grau de interação e engenharia social seja necessário para convencer as vítimas a tomar essas medidas. Este desenvolvimento ocorre enquanto agentes de ameaça norte-coreanos têm se engajado em extensas campanhas que visam assegurar posições remotas em empresas ao redor do mundo, bem como enganar os atuais funcionários de empresas de criptomoedas a baixar malware sob o pretexto de entrevistas de codificação.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...