back to top
3.8 C
New York

Peretas menggunakan atribut file macOS yang diperluas untuk menyembunyikan kode berbahaya

Published:

Peretas menggunakan teknik baru yang menyalahgunakan atribut yang diperluas untuk file macOS untuk mengirimkan Trojan baru yang oleh para peneliti disebut RustiAttr.

Pelaku ancaman menyembunyikan kode berbahaya dalam metadata file khusus dan juga menggunakan dokumen PDF palsu untuk menghindari deteksi.

Teknik baru ini mirip dengan cara Bundlore adware 2020 menyembunyikan muatannya di garpu sumber daya untuk menyembunyikan muatan MacOS. Itu ditemukan di beberapa sampel malware di alam liar oleh para peneliti di perusahaan keamanan siber Group-IB.

Berdasarkan analisis mereka, dan karena mereka tidak dapat memastikan siapa pun korbannya, para peneliti mengaitkan sampel tersebut dengan keyakinan sedang kepada aktor ancaman Korea Utara, Lazarus. Mereka yakin penyerang mungkin sedang bereksperimen dengan solusi pengiriman malware baru.

Metode ini tidak biasa dan terbukti efektif dalam mendeteksi, karena tidak ada agen keamanan di platform Virus Total yang menandai file berbahaya.

Menyembunyikan kode dalam atribut file

macOS Extended Attributes (EA) adalah metadata tersembunyi yang biasanya dikaitkan dengan file dan direktori, tidak terlihat langsung menggunakan Finder atau Terminal, namun dapat diekstraksi menggunakan perintah 'kattr' untuk menampilkan, mengedit, atau menghapus atribut yang diperluas.

Dalam kasus serangan RustiAttr, nama EA adalah 'test' dan berisi skrip shell.

Skrip shell disembunyikan di atribut extended untuk file macOSSkrip shell dalam macOS Sumber Atribut Diperluas: Group-IB

Aplikasi berbahaya yang disimpan oleh EA dibuat menggunakan kerangka Tauri, yang menggabungkan antarmuka web (HTML, JavaScript) yang dapat memanggil fungsi pada backend Rust.

Saat aplikasi dimulai, aplikasi memuat halaman web yang berisi JavaScript ('preload.js') yang mengambil konten dari lokasi yang ditentukan dalam EA “test” dan mengirimkannya ke fungsi “run_command” untuk mengeksekusi skrip shell.

Isi dari preload.jsIsi dari preload.jsSource: Grup-IB

Untuk mengurangi kecurigaan pengguna selama proses ini, beberapa sampel meluncurkan file PDF palsu atau menampilkan dialog kesalahan.

Decoy PDF menyembunyikan aktivitas latar belakang yang berbahayaDecoy PDF menyembunyikan aktivitas latar belakang yang berbahaya. Sumber: Grup-IB

PDF diunduh dari contoh berbagi file publik pCloud yang juga berisi entri dengan nama yang terkait dengan topik investasi mata uang kripto, yang sejalan dengan maksud dan tujuan Lazarus.

Beberapa contoh aplikasi RustiAttr Group-IB mengungkapkan bahwa semua tes deteksi lulus pada Virus Total dan aplikasi tersebut ditandatangani menggunakan sertifikat yang bocor, yang telah dicabut oleh Apple, tetapi tidak diaktakan.

Detail sertifikat aplikasiDetail Sertifikat Aplikasi Sumber: Group-IB

Group-IB tidak dapat mengunduh dan menganalisis malware tahap berikutnya, namun menemukan bahwa server penegakan terhubung ke titik akhir yang diketahui di infrastruktur Lazarus untuk mencoba mengunduhnya.

Alur eksekusiSumber Alur Eksekusi: Grup-IB Bereksperimen dengan Penghindaran macOS

Kasus yang dilaporkan oleh Group-IB sangat mirip dengan laporan terbaru lainnya dari SentinelLabs, yang mengamati aktor ancaman Korea Utara BlueNoroff bereksperimen dengan teknik penghindaran yang serupa namun berbeda di macOS.

BlueNoroff menggunakan phishing bertema cryptocurrency untuk memikat target agar mengunduh aplikasi berbahaya yang telah ditandatangani dan disahkan.

Aplikasi tersebut menggunakan file “Info.plist” yang dimodifikasi untuk secara diam-diam memulai koneksi berbahaya ke domain yang dikendalikan penyerang tempat payload diunduh pada tahap kedua.

Tidak diketahui apakah kampanye-kampanye tersebut saling terkait atau tidak, namun biasanya kelompok aktivitas terpisah menggunakan informasi yang sama tentang cara secara efektif menembus sistem macOS tanpa memicu alarm.

PANEN96 promo

unity software

unity software information

software information

Informasi mengenai king slot

king selot

king slot

king slot

kingselot

pg king slot

merek 88

merek 88

mantan99

mantan88

maksimal88

maksimal88

liburan88

indodax88

indah99

indah88

ikn88

ibukota88

huawei88

hot888

hot88

dingin88

citra88

binance88

best99

best88

tradisional 88

tradisional 88

tombol88

tombol88

survey88

survey88

start88

start88

obatkuat88

obatkuat88

mcb88

mcb88

master99

master888

master88

live88

live88

libra88

kompresor88

kompresor88

kesimpulan88

kesimpulan88

kapasitor88

kapasitor88

kacamata88

kacamata88

jamu88

jamu88

jam88

jam88

follow88

follow88

dinamo88

dinamo88

baterai88

baterai88

miegacoan

miegacoan

gacoan

gacoan

website88

waweb88

waweb88

translate88

translate88

tempur888

tempur888

tambang99

tambang99

support88

support88

support88

sogoslot88

siap88

siap88

rog88

rog77

pt88

pt88

pln88

pln88

oke99

oke88

mining88

livechat88

livechat88

listrik88

listrik88

listrik88

freeport88

freeport88

free88

free88

domain88

domain88

dokter888

dokter888

bmkg88

bmkg88

asn88

Artikel terkait

Artikel Terbaru