Peretas menggunakan teknik baru yang menyalahgunakan atribut yang diperluas untuk file macOS untuk mengirimkan Trojan baru yang oleh para peneliti disebut RustiAttr.
Pelaku ancaman menyembunyikan kode berbahaya dalam metadata file khusus dan juga menggunakan dokumen PDF palsu untuk menghindari deteksi.
Teknik baru ini mirip dengan cara Bundlore adware 2020 menyembunyikan muatannya di garpu sumber daya untuk menyembunyikan muatan MacOS. Itu ditemukan di beberapa sampel malware di alam liar oleh para peneliti di perusahaan keamanan siber Group-IB.
Berdasarkan analisis mereka, dan karena mereka tidak dapat memastikan siapa pun korbannya, para peneliti mengaitkan sampel tersebut dengan keyakinan sedang kepada aktor ancaman Korea Utara, Lazarus. Mereka yakin penyerang mungkin sedang bereksperimen dengan solusi pengiriman malware baru.
Metode ini tidak biasa dan terbukti efektif dalam mendeteksi, karena tidak ada agen keamanan di platform Virus Total yang menandai file berbahaya.
Menyembunyikan kode dalam atribut file
macOS Extended Attributes (EA) adalah metadata tersembunyi yang biasanya dikaitkan dengan file dan direktori, tidak terlihat langsung menggunakan Finder atau Terminal, namun dapat diekstraksi menggunakan perintah 'kattr' untuk menampilkan, mengedit, atau menghapus atribut yang diperluas.
Dalam kasus serangan RustiAttr, nama EA adalah 'test' dan berisi skrip shell.
Skrip shell dalam macOS Sumber Atribut Diperluas: Group-IB
Aplikasi berbahaya yang disimpan oleh EA dibuat menggunakan kerangka Tauri, yang menggabungkan antarmuka web (HTML, JavaScript) yang dapat memanggil fungsi pada backend Rust.
Saat aplikasi dimulai, aplikasi memuat halaman web yang berisi JavaScript ('preload.js') yang mengambil konten dari lokasi yang ditentukan dalam EA “test” dan mengirimkannya ke fungsi “run_command” untuk mengeksekusi skrip shell.
Isi dari preload.jsSource: Grup-IB
Untuk mengurangi kecurigaan pengguna selama proses ini, beberapa sampel meluncurkan file PDF palsu atau menampilkan dialog kesalahan.
Decoy PDF menyembunyikan aktivitas latar belakang yang berbahaya. Sumber: Grup-IB
PDF diunduh dari contoh berbagi file publik pCloud yang juga berisi entri dengan nama yang terkait dengan topik investasi mata uang kripto, yang sejalan dengan maksud dan tujuan Lazarus.
Beberapa contoh aplikasi RustiAttr Group-IB mengungkapkan bahwa semua tes deteksi lulus pada Virus Total dan aplikasi tersebut ditandatangani menggunakan sertifikat yang bocor, yang telah dicabut oleh Apple, tetapi tidak diaktakan.
Detail Sertifikat Aplikasi Sumber: Group-IB
Group-IB tidak dapat mengunduh dan menganalisis malware tahap berikutnya, namun menemukan bahwa server penegakan terhubung ke titik akhir yang diketahui di infrastruktur Lazarus untuk mencoba mengunduhnya.
Sumber Alur Eksekusi: Grup-IB Bereksperimen dengan Penghindaran macOS
Kasus yang dilaporkan oleh Group-IB sangat mirip dengan laporan terbaru lainnya dari SentinelLabs, yang mengamati aktor ancaman Korea Utara BlueNoroff bereksperimen dengan teknik penghindaran yang serupa namun berbeda di macOS.
BlueNoroff menggunakan phishing bertema cryptocurrency untuk memikat target agar mengunduh aplikasi berbahaya yang telah ditandatangani dan disahkan.
Aplikasi tersebut menggunakan file “Info.plist” yang dimodifikasi untuk secara diam-diam memulai koneksi berbahaya ke domain yang dikendalikan penyerang tempat payload diunduh pada tahap kedua.
Tidak diketahui apakah kampanye-kampanye tersebut saling terkait atau tidak, namun biasanya kelompok aktivitas terpisah menggunakan informasi yang sama tentang cara secara efektif menembus sistem macOS tanpa memicu alarm.
unity software
unity software information
software information
Informasi mengenai king slot
king selot
king slot
king slot
kingselot
pg king slot
merek 88
merek 88
mantan99
mantan88
maksimal88
maksimal88
liburan88
indodax88
indah99
indah88
ikn88
ibukota88
huawei88
hot888
hot88
dingin88
citra88
binance88
best99
best88
tradisional 88
tradisional 88
tombol88
tombol88
survey88
survey88
start88
start88
obatkuat88
obatkuat88
mcb88
mcb88
master99
master888
master88
live88
live88
libra88
kompresor88
kompresor88
kesimpulan88
kesimpulan88
kapasitor88
kapasitor88
kacamata88
kacamata88
jamu88
jamu88
jam88
jam88
follow88
follow88
dinamo88
dinamo88
baterai88
baterai88
miegacoan
miegacoan
gacoan
gacoan
website88
waweb88
waweb88
translate88
translate88
tempur888
tempur888
tambang99
tambang99
support88
support88
support88
sogoslot88
siap88
siap88
rog88
rog77
pt88
pt88
pln88
pln88
oke99
oke88
mining88
livechat88
livechat88
listrik88
listrik88
listrik88
freeport88
freeport88
free88
free88
domain88
domain88
dokter888
dokter888
bmkg88
bmkg88
asn88