Logiciel malveillant RustyAttr pour Mac

Les chercheurs ont identifié que les acteurs malveillants utilisent désormais une méthode innovante qui tire parti des attributs étendus des fichiers macOS pour masquer une nouvelle menace connue sous le nom de RustyAttr.

Cette nouvelle campagne a été raisonnablement liée au célèbre groupe Lazarus , associé à la Corée du Nord. L'attribution est basée sur des similitudes observées dans l'infrastructure et les tactiques liées aux campagnes précédentes, notamment RustBucket.

Les attributs étendus font référence à des métadonnées supplémentaires liées aux fichiers et aux répertoires, auxquelles on peut accéder à l'aide d'une commande appelée xattr. Ces attributs sont généralement utilisés pour stocker des informations au-delà des détails standard tels que la taille du fichier, les horodatages et les autorisations.

Les applications menaçantes partagent plusieurs connexions

Des chercheurs ont découvert des applications malveillantes créées avec Tauri, un framework multiplateforme pour applications de bureau, et signées à l'aide d'un certificat divulgué qu'Apple a depuis révoqué. Ces applications incluent un attribut étendu conçu pour récupérer et exécuter un script shell.

Lorsque le script shell s'exécute, il active également un leurre destiné à détourner l'attention. Ce leurre peut présenter un message d'erreur indiquant « Cette application ne prend pas en charge cette version » ou afficher un PDF inoffensif lié au développement et au financement d'un projet de jeu.

Comment se déroule l'attaque RustyAttr

Lorsque l'application est lancée, le framework Tauri tente d'afficher une page Web HTML à l'aide d'une WebView, l'acteur de la menace sélectionnant un modèle aléatoire provenant d'Internet.

Ce qui est particulièrement remarquable, c'est que ces pages Web sont conçues pour charger du JavaScript non sécurisé, qui extrait le contenu des attributs étendus et l'exécute via un backend Rust. Cependant, la fausse page Web n'est affichée que si aucun attribut étendu n'est présent.

L'objectif ultime de la campagne reste incertain, d'autant plus qu'il n'existe aucune preuve de charges utiles supplémentaires ou de victimes confirmées.

Heureusement, les systèmes macOS offrent une certaine protection contre les échantillons découverts. Pour lancer l’attaque, les utilisateurs doivent désactiver Gatekeeper en contournant les protections intégrées contre les logiciels malveillants. Un certain niveau d’interaction avec l’utilisateur et d’ingénierie sociale sera probablement nécessaire pour persuader les victimes de prendre ces mesures.