Cybersicherheitsexperten von Group-IB haben eine ausgeklügelte neue Malware-Variante entdeckt, die gezielt macOS-Systeme angreift. Der als RustyAttr bezeichnete Trojaner nutzt dabei eine innovative Tarnungstechnik, die sich der erweiterten Attribute des Dateisystems bedient, um Sicherheitsmechanismen zu umgehen.
Innovative Verschleierungstechnik durch Metadaten-Manipulation
Die Angreifer setzen auf eine besonders raffinierte Methode der Malware-Verteilung, indem sie schädlichen Code in den Metadaten von macOS-Dateien verstecken. Besonders besorgniserregend ist die Tatsache, dass die Malware von keinem der auf VirusTotal verfügbaren Antivirenprogramme erkannt wurde. Als Köder dienen dabei gefälschte PDF-Dokumente, die arglose Benutzer zum Öffnen verleiten sollen.
Technische Analyse der Malware-Funktionsweise
Der Trojaner basiert auf dem Tauri-Framework, das Webtechnologien mit der Programmiersprache Rust kombiniert. Nach der Aktivierung nutzt die Malware erweiterte Attribute (EA) des Betriebssystems, insbesondere das „test“-Attribut, um einen Shell-Script zu speichern. Während dem Benutzer ein gefälschtes PDF-Dokument oder eine Fehlermeldung angezeigt wird, extrahiert und führt der in preload.js enthaltene JavaScript-Code im Hintergrund schädliche Befehle aus.
Verbindungen zur Lazarus-Gruppe
Die Analyse von Group-IB deutet auf eine Verbindung zur nordkoreanischen Hackergruppe Lazarus hin. Die entdeckten schädlichen Anwendungen wurden mit einem kompromittierten Apple-Entwicklerzertifikat signiert, das mittlerweile von Apple widerrufen wurde. Diese Vorgehensweise entspricht dem bekannten Modus Operandi der Gruppe.
Vergleichbare Angriffsmuster
Parallel dazu haben Untersuchungen von SentinelLabs ähnliche Taktiken der BlueNoroff-Gruppe aufgedeckt. Diese Gruppe experimentiert ebenfalls mit Techniken zur Umgehung von macOS-Erkennungssystemen und manipuliert Info.plist-Dateien, um versteckte Verbindungen zu Command-and-Control-Servern herzustellen.
Diese Entdeckung unterstreicht die zunehmende Sophistikation moderner Cyber-Bedrohungen und die Notwendigkeit erweiterter Sicherheitsmaßnahmen. Für macOS-Nutzer wird dringend empfohlen, verstärkte Vorsicht beim Öffnen von Dateien aus unbekannten Quellen walten zu lassen und Sicherheitsupdates zeitnah zu installieren. Besonders wichtig ist die Implementierung mehrschichtiger Sicherheitskonzepte, da traditionelle Antivirenlösungen allein keinen ausreichenden Schutz mehr bieten.
