Специалисты Group-IB выявили новую изощренную технику кибератак, направленную на пользователей macOS. Злоумышленники используют расширенные атрибуты файловой системы для доставки трояна RustyAttr, демонстрируя высокую эффективность в обходе современных систем защиты.
Инновационный метод доставки вредоносного ПО
Атакующие применяют нестандартный подход, скрывая вредоносный код в метаданных файлов macOS. В качестве приманки используются поддельные PDF-документы. Особую обеспокоенность вызывает тот факт, что ни один антивирусный сканер на платформе VirusTotal не смог обнаружить вредоносный код в зараженных файлах.
Технические особенности атаки
Вредоносное ПО создается с использованием фреймворка Tauri, комбинирующего веб-технологии и язык программирования Rust. При запуске малварь использует расширенные атрибуты (EA) операционной системы, в частности атрибут test, для хранения шелл-скрипта. JavaScript-код в preload.js извлекает и выполняет вредоносные команды, пока пользователю демонстрируется поддельный PDF-файл или сообщение об ошибке.
Связь с известными хакерскими группировками
Исследователи Group-IB с определенной долей уверенности связывают данную кампанию с северокорейской хакерской группой Lazarus. Примечательно, что обнаруженные вредоносные приложения были подписаны скомпрометированным сертификатом Apple, который впоследствии был отозван.
Параллели с другими кибератаками
Недавнее исследование SentinelLabs выявило схожую тактику, используемую группировкой BlueNoroff. Эта группа также экспериментировала с техниками обхода обнаружения в macOS, используя модифицированные файлы Info.plist для установки скрытых соединений с контролируемыми злоумышленниками серверами.
Данное открытие подчеркивает растущую сложность современных киберугроз и необходимость постоянного совершенствования систем защиты. Пользователям macOS рекомендуется проявлять повышенную бдительность при открытии файлов из непроверенных источников и регулярно обновлять системы безопасности.
