Bilgisayar korsanları, araştırmacıların Rustyattr dediği yeni bir Truva atı sunmak için macOS dosyaları için genişletilmiş özellikleri kötüye kullanan yeni bir teknik kullanıyor.
Tehdit oyuncusu özel dosya meta verilerinde kötü niyetli kodları saklıyor ve ayrıca tespitten kaçınmaya yardımcı olmak için tuzak PDF belgelerini kullanıyor.
Yeni teknik, 2020'deki Bundlore reklam yazılımının, yükleri MacOS için yükleri gizlemek için kaynak çatallarında nasıl sakladığına benzer. Siber güvenlik şirketi Grup-IB'deki araştırmacılar tarafından Wild'daki birkaç kötü amaçlı yazılım örneğinde keşfedildi.
Analizlerine dayanarak ve herhangi bir kurbanı teyit edemedikleri için, araştırmacılar örnekleri Kuzey Kore tehdit oyuncusu Lazarus'a ılımlı bir güvenle ilişkilendiriyorlar. Saldırganın yeni bir kötü amaçlı yazılım dağıtım çözümü denemeye devam edebileceğine inanıyorlar.
Virüs toplam platformundaki güvenlik ajanlarının hiçbiri kötü amaçlı dosyaları işaretlemediğinden, yöntem nadirdir ve tespite karşı etkili olduğu kanıtlanmıştır.
MacOS Genişletilmiş Öznitelikler (EAS), tipik olarak dosyalar ve dizinlerle ilişkili, Finder veya Terminal ile doğrudan görünmeyen, ancak genişletilmiş nitelikleri göstermek, düzenleme veya kaldırma komutu kullanılarak çıkarılabilen gizli meta verileri temsil eder.
Rustyattr saldırıları durumunda, EA adı 'test' ve bir kabuk betiği tutar.
EA'yı depolayan kötü amaçlı uygulamalar, pas arka ucunda işlevleri çağırabilen bir web ön ucunu (HTML, JavaScript) birleştiren Tauri çerçevesi kullanılarak oluşturulur.
Uygulama çalıştığında, içeriği “test” EA'da belirtilen konumdan alan ve kabuk komut dosyasının yürütülmesi için 'run_command' işlevine gönderen bir JavaScript ('preload.js') içeren bir web sayfası yükler.
Bu işlem sırasında kullanıcı şüphesini düşük tutmak için, bazı örnekler Decoy PDF dosyalarını başlatır veya hata iletişim kutularını görüntüler.
PDF, Lazarus'un hedefleri ve hedefleriyle uyumlu olan kripto para birimi yatırım konularıyla ilgili adlarla birlikte girişler içeren bir PCLOUD örneğinden alınır.
RustYattr Apps Group-Ib'in birkaç örneği, virüs toplamındaki tüm geçiş algılama testlerini buldu ve uygulamalar, Apple'ın iptal edildiği ancak noter değil, sızdırılmış bir sertifika kullanılarak imzalandı.
Grup-IB, bir sonraki aşamalı kötü amaçlı yazılımları alamadı ve analiz edemedi, ancak evreleme sunucusunun onu getirmeye çalışmak için Lazarus altyapısında bilinen bir uç noktaya bağlandığını keşfetti.
Grup-IB tarafından bildirilen dava, Kuzey Kore tehdit oyuncusu Bluenoroff'un macOS'ta kaçınma için benzer ancak farklı tekniklerle denemeyi gözlemleyen Sentinellabs'ın son raporuna çok benzer.
Bluenoroff, imzalanmış ve noter tasdikli kötü amaçlı bir uygulama indirmek için hedefleri cezbetmek için kripto para temalı kimlik avı kullandı.
Uygulamalar, ikinci aşama yükün alındığı yerden saldırgan kontrollü alan adına kötü niyetli bir bağlantıyı gizlice tetiklemek için değiştirilmiş bir "info.plist" dosyası kullandı.
Kampanyaların ilişkili olup olmadığı bilinmemektedir, ancak ayrı etkinlik kümelerinin alarmları tetiklemeden macOS sistemlerinin nasıl etkili bir şekilde ihlal edileceği konusunda aynı bilgileri kullanması yaygındır.
Kuzey Koreli bilgisayar korsanları macOS güvenliğini atlamak için çırpınan uygulamalar oluşturur
Kuzey Koreli bilgisayar korsanları kripto firmalarına karşı yeni macOS kötü amaçlı yazılım kullanıyor
Linux kötü amaçlı yazılım “perfctl” yıllarca süren kriptominasyon kampanyasının arkasında
Microsoft, macOS uygulaması donmalarına neden olan onedrive sorununu araştırıyor
Bilgisayar korsanları artık tespitten kaçınmak için zip dosyası birleştirmesini kullanıyor
Kaynak: Bleeping Computer