SINGAPUR / MÜNCHEN (IT BOLTWISE) – Eine neue Bedrohung für macOS-Nutzer ist aufgetaucht, bei der Angreifer erweiterte Attribute ausnutzen, um die Malware RustyAttr einzuschleusen.
- News von IT Boltwise® bei LinkedIn abonnieren!
- AI Morning Podcast bei Spotify / Amazon / Apple verfolgen!
- Neue Meldungen bequem per eMail via Newsletter erhalten!
- IT Boltwise® bei Facebook als Fan markieren!
- RSS-Feed 2.0 von IT Boltwise® abonnieren!
Eine neue Malware namens RustyAttr hat die Aufmerksamkeit von Sicherheitsexperten auf sich gezogen, da sie eine bisher unbekannte Methode nutzt, um macOS-Systeme anzugreifen. Diese Technik basiert auf der Ausnutzung erweiterter Attribute, die normalerweise zur Speicherung zusätzlicher Metadaten wie Dateigröße oder Berechtigungen verwendet werden. Die Entdeckung dieser Methode wurde von einem führenden Cybersecurity-Unternehmen in Singapur gemacht, das die Aktivitäten mit moderater Sicherheit der berüchtigten Lazarus-Gruppe aus Nordkorea zuschreibt.
Erweiterte Attribute sind ein wenig bekanntes Feature von macOS, das es ermöglicht, zusätzliche Informationen zu Dateien und Verzeichnissen hinzuzufügen. Diese Attribute können mit dem Befehl ‚xattr‘ extrahiert werden. Die Angreifer nutzen diese Funktion, um bösartige Shell-Skripte zu verstecken, die beim Ausführen der infizierten Anwendung aktiviert werden. Diese Anwendungen wurden mit dem Tauri-Framework entwickelt und mit einem inzwischen von Apple widerrufenen Zertifikat signiert.
Besonders bemerkenswert ist, dass die Malware nicht nur ein bösartiges Skript ausführt, sondern auch eine Ablenkungstaktik einsetzt. Beim Start der Anwendung wird entweder eine Fehlermeldung angezeigt oder ein harmlos wirkendes PDF-Dokument geöffnet, das sich mit der Entwicklung und Finanzierung von Gaming-Projekten beschäftigt. Diese Täuschung soll den Benutzer von der eigentlichen Bedrohung ablenken.
Die technische Umsetzung der Malware ist komplex. Die Tauri-Anwendung versucht, eine HTML-Webseite über eine WebView zu rendern. Diese Webseite ist so gestaltet, dass sie ein bösartiges JavaScript lädt, das die Inhalte der erweiterten Attribute abruft und über ein Rust-Backend ausführt. Interessanterweise wird die gefälschte Webseite nur dann angezeigt, wenn keine erweiterten Attribute vorhanden sind.
Die genauen Ziele der Kampagne sind noch unklar, da bisher keine weiteren Nutzlasten oder bestätigte Opfer identifiziert wurden. Glücklicherweise bieten macOS-Systeme einen gewissen Schutz, da die Benutzer Gatekeeper deaktivieren müssen, um die Malware auszuführen. Dies erfordert eine gewisse Interaktion und möglicherweise auch soziale Manipulation, um die Opfer dazu zu bringen, diese Schritte zu unternehmen.
Diese Entwicklung ist Teil einer größeren Strategie nordkoreanischer Bedrohungsakteure, die versuchen, remote Arbeitsplätze in Unternehmen weltweit zu sichern oder Mitarbeiter von Kryptowährungsunternehmen dazu zu bringen, Malware herunterzuladen. Diese Angriffe unter dem Vorwand von Programmierinterviews sind ein weiteres Beispiel für die ausgeklügelten Methoden, die von diesen Gruppen eingesetzt werden.
Ergänzungen und Infos bitte an die Redaktion per eMail an de-info[at]it-boltwise.de
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.