Команда дослідників з компанії Group-IB виявила новітню техніку кібератак, що становить серйозну загрозу для користувачів macOS. Зловмисники розробили витончений метод доставки шкідливого програмного забезпечення RustyAttr через розширені атрибути файлової системи, що дозволяє успішно обходити сучасні системи захисту.
Унікальний механізм зараження через метадані
Особливість виявленої атаки полягає у використанні метаданих файлів macOS для приховування шкідливого коду. Найбільше занепокоєння викликає той факт, що жоден з антивірусних сканерів на платформі VirusTotal не зміг виявити присутність шкідливого коду в інфікованих файлах. Зловмисники використовують підроблені PDF-документи як приманку для потенційних жертв.
Технічна реалізація шкідливого ПЗ
RustyAttr розроблено на базі фреймворку Tauri, що поєднує веб-технології та мову програмування Rust. Шкідливе ПЗ використовує розширений атрибут test для зберігання шелл-скрипта, який активується через JavaScript-код у preload.js. Під час виконання шкідливих команд користувачу демонструється фальшивий PDF-файл або повідомлення про помилку.
Зв’язок з північнокорейськими хакерами
Аналітики Group-IB пов’язують цю кампанію з відомою північнокорейською хакерською групою Lazarus. Важливо відзначити, що виявлені шкідливі додатки були підписані скомпрометованим сертифікатом Apple, який згодом було відкликано компанією.
Паралелі з іншими кібератаками
Дослідження SentinelLabs виявило подібну тактику у діяльності групи BlueNoroff, яка також експериментувала з методами обходу систем виявлення в macOS через модифікацію файлів Info.plist. Це свідчить про зростаючу тенденцію використання складних технік для компрометації систем Apple.
Для захисту від подібних загроз користувачам macOS рекомендується дотримуватися базових правил кібербезпеки: не відкривати файли з неперевірених джерел, регулярно оновлювати операційну систему та програмне забезпечення, використовувати надійні рішення для захисту від шкідливого ПЗ. Виявлення RustyAttr демонструє необхідність постійного вдосконалення механізмів кіберзахисту та підвищення пильності користувачів.
