Pelaku ancaman ditemukan memanfaatkan teknik baru yang menyalahgunakan atribut tambahan pada file macOS untuk menyelundupkan malware baru bernama RustyAttr.
Perusahaan keamanan siber asal Singapura ini dengan tingkat keyakinan yang moderat mengaitkan aktivitas baru ini dengan Lazarus Group yang memiliki hubungan dengan Korea Utara, dengan alasan infrastruktur dan tumpang tindih taktis yang diamati sehubungan dengan kampanye sebelumnya, termasuk RustBucket.
Atribut yang diperluas mengacu pada metadata tambahan yang terkait dengan file dan direktori yang dapat diekstraksi menggunakan perintah khusus yang disebut xattr. Mereka sering digunakan untuk menyimpan informasi yang melampaui atribut standar, seperti ukuran file, cap waktu, dan izin.
Aplikasi berbahaya yang ditemukan oleh Group-IB dibuat menggunakan Tauri, kerangka aplikasi desktop lintas platform, dan ditandatangani dengan sertifikat bocor yang telah dicabut oleh Apple. Mereka menyertakan atribut tambahan yang dikonfigurasi untuk mengambil dan menjalankan skrip shell.
Eksekusi skrip shell juga memicu umpan, yang berfungsi sebagai mekanisme pengalih perhatian dengan menampilkan pesan kesalahan “Aplikasi ini tidak mendukung versi ini” atau dokumen PDF yang tampaknya tidak berbahaya terkait dengan pengembangan dan pendanaan proyek game.
“Saat menjalankan aplikasi, aplikasi Tauri mencoba merender halaman web HTML menggunakan WebView,” kata peneliti keamanan Group-IB Sharmine Low. “Itu [threat actor] menggunakan beberapa templat acak yang diambil dari internet.”
Namun yang juga penting adalah bahwa halaman web ini direkayasa untuk memuat JavaScript berbahaya, yang kemudian memperoleh konten dari atribut yang diperluas dan mengeksekusinya melalui backend Rust. Meskipun demikian, halaman web palsu pada akhirnya hanya ditampilkan jika tidak ada atribut tambahan.
Tujuan akhir dari kampanye ini masih belum jelas, terutama mengingat fakta bahwa belum ada bukti adanya serangan lebih lanjut atau korban yang dikonfirmasi.
“Untungnya, sistem macOS memberikan perlindungan pada tingkat tertentu untuk sampel yang ditemukan,” kata Low. “Untuk memicu serangan, pengguna harus menonaktifkan Gatekeeper dengan mengesampingkan perlindungan malware. Tampaknya diperlukan interaksi dan rekayasa sosial pada tingkat tertentu untuk meyakinkan korban agar mengambil langkah-langkah ini.”
Perkembangan ini terjadi ketika pelaku ancaman Korea Utara telah terlibat dalam kampanye ekstensif yang bertujuan untuk mengamankan posisi jarak jauh dengan bisnis di seluruh dunia, serta mengelabui karyawan yang saat ini bekerja di perusahaan mata uang kripto agar mengunduh malware dengan dalih wawancara coding.