Οι χάκερ χρησιμοποιούν μια νέα τεχνική που καταχράται εκτεταμένα χαρακτηριστικά αρχείων macOS, για να παραδώσουν ένα νέο trojan που οι ερευνητές ονομάζουν RustyAttr.
Δείτε επίσης: ToxicPanda: Νέο Android banking trojan επιτρέπει δόλιες τραπεζικές συναλλαγές
Οι χάκερ κρύβουν τον κακόβουλο κώδικα σε προσαρμοσμένα μεταδεδομένα αρχείων και χρησιμοποιούν επίσης έγγραφα PDF decoy για να αποφύγουν τον εντοπισμό.
Η νέα τεχνική είναι παρόμοια με τον τρόπο με τον οποίο το διαφημιστικό λογισμικό Bundlore έκρυψε τα ωφέλιμα φορτία του σε resource forks, για να τα κρύψει στο macOS, πίσω στο 2020. Ανακαλύφθηκε σε μερικά δείγματα κακόβουλου λογισμικού από ερευνητές της εταιρείας κυβερνοασφάλειας Group-IB.
Η Google μηνύει την κυβέρνηση των ΗΠΑ για υπερβολή
Νέα ανακάλυψη για τον μεγαλύτερο κρατήρα του Φεγγαριού!
Clone Alpha: Νέο επαναστατικό ανθρωποειδές ρομπότ
Με βάση την ανάλυσή τους και επειδή δεν μπόρεσαν να επιβεβαιώσουν κανένα θύμα, οι ερευνητές αποδίδουν τα δείγματα του RustyAttr trojan στον Βορειοκορεάτη ομάδα hacking Lazarus. Πιστεύουν ότι ο εισβολέας μπορεί να πειραματίζεται με μια νέα λύση παράδοσης κακόβουλου λογισμικού.
Η μέθοδος είναι ασυνήθιστη και αποδείχθηκε αποτελεσματική έναντι του εντοπισμού, καθώς κανένας από τους πράκτορες ασφαλείας στην πλατφόρμα Virus Total δεν επισήμανε τα κακόβουλα αρχεία.
Τα εκτεταμένα χαρακτηριστικά του macOS (EAs) αντιπροσωπεύουν κρυφά μεταδεδομένα που σχετίζονται συνήθως με αρχεία και καταλόγους, τα οποία δεν είναι άμεσα ορατά με το Finder ή το τερματικό, αλλά μπορούν να εξαχθούν χρησιμοποιώντας την εντολή ‘xattr‘ για εμφάνιση, επεξεργασία ή κατάργηση εκτεταμένων χαρακτηριστικών.
Στην περίπτωση των επιθέσεων RustyAttr trojan, το όνομα EA είναι “test” και περιέχει ένα shell script.
Δείτε ακόμα: Grandoreiro: Νέες επικίνδυνες εκδόσεις του banking trojan
Οι κακόβουλες εφαρμογές που αποθηκεύουν το EA κατασκευάζονται χρησιμοποιώντας το πλαίσιο Tauri, το οποίο συνδυάζει μια διεπαφή ιστού (HTML, JavaScript) που μπορεί να καλέσει συναρτήσεις σε ένα σύστημα υποστήριξης Rust.
Όταν εκτελείται η εφαρμογή, φορτώνει μια ιστοσελίδα που περιέχει ένα JavaScript («preload.js») που λαμβάνει το περιεχόμενο από τη θέση που υποδεικνύεται στο «test» EA και το στέλνει στη συνάρτηση «run_command» για να εκτελεστεί το shell script.
Για να διατηρηθεί χαμηλή η υποψία του χρήστη κατά τη διάρκεια αυτής της διαδικασίας, ορισμένα δείγματα εκκινούν αρχεία PDF decoy ή εμφανίζουν παράθυρα διαλόγου σφαλμάτων.
Το PDF λαμβάνεται από μια παρουσία του pCloud για δημόσια κοινή χρήση αρχείων που περιέχει επίσης καταχωρήσεις με ονόματα που σχετίζονται με θέματα επενδύσεων σε κρυπτονομίσματα, τα οποία ευθυγραμμίζονται με τους στόχους της ομάδας Lazarus.
Τα λίγα δείγματα των εφαρμογών RustyAttr trojan, βρήκαν όλες τις δοκιμές ανίχνευσης με επιτυχία στο Virus Total και οι εφαρμογές υπογράφηκαν χρησιμοποιώντας ένα πιστοποιητικό που διέρρευσε, το οποίο η Apple έκτοτε έχει ανακαλέσει.
Το Group-IB δεν μπόρεσε να ανακτήσει και να αναλύσει το κακόβουλο λογισμικό επόμενου σταδίου, αλλά ανακάλυψε ότι ο διακομιστής σταδίου συνδέεται με ένα γνωστό τελικό σημείο στην υποδομή Lazarus.
Δείτε επίσης: ErrorFather: Καμπάνια διανέμει παραλλαγή του banking Trojan Cerberus
Το Trojan, όπως το νέο RustyAttr, είναι ένας τύπος κακόβουλου λογισμικού που έχει σχεδιαστεί για να εξαπατά τους χρήστες εμφανιζόμενο ως νόμιμο πρόγραμμα. Μόλις εγκατασταθούν, τα Trojans μπορούν να προκαλέσουν όλεθρο στους υπολογιστές κλέβοντας δεδομένα, εγκαθιστώντας πρόσθετο κακόβουλο λογισμικό ή δημιουργώντας ένα backdoor για μη εξουσιοδοτημένη πρόσβαση. Σε αντίθεση με τους ιούς, τα Trojans δεν αυτο-αντιγράφονται, αλλά μπορεί να είναι εξίσου καταστροφικά και συχνά χρησιμεύουν ως πύλες για άλλους τύπους κακόβουλου λογισμικού. Για την προστασία από Trojans, οι χρήστες θα πρέπει να κάνουν λήψη λογισμικού μόνο από αξιόπιστες πηγές, να διατηρούν τα συστήματά τους ενημερωμένα και να χρησιμοποιούν ισχυρές λύσεις προστασίας από ιούς.
Πηγή: bleepingcomputer