Araştırmacılar, tehdit aktörünün macOS cihazlarda tespit edilmesini önlemek amacıyla Genişletilmiş Öznitelikler kullanarak kodları gizlemek için kullandığı yeni bir yaklaşım keşfetti.
Genişletilmiş nitelikler, farklı dosya sistemlerinin dosyalarına ve dizinlerine bağlanabilen meta verilerdir. Kullanıcıların bir dosya hakkında izinler, zaman damgaları ve dosya boyutu gibi tipik özelliklerden daha fazla ayrıntıyı tutmasına olanak tanır.
Genişletilmiş özniteliklerden yararlanan kötü amaçlı yazılımları araştırırken keşfedilen en benzer yöntem, 2020 yılında Bundlore reklam yazılımının yükünü kaynak çatallarında gizlediği ve “dosya adı/..namedfork/rsrc” benzersiz yoluyla erişildiği zamandı.
Group-IB uzmanlarına göre numuneler orta derecede güvenle APT Lazarus’a atfediliyor. Vahşi doğada yalnızca az sayıda örnek gördükleri için araştırmacılar bu olaydan herhangi bir kurbanın olduğunu doğrulayamıyor.
Free Ultimate Continuous Security Monitoring Guide - Download Here (PDF)
Yürütme Akışına Genel Bakış
Bulunan kötü amaçlı yazılıma “RustyAttr” adı verildi ve Lazarus tarafından Tauri çerçevesi kullanılarak geliştirildi.
Birçok dosya sisteminde, dosyalar ve dizinler Genişletilmiş Öznitelikler (EA’lar) adı verilen meta verilere bağlanabilir. Her ne kadar Finder ve Terminal bunları doğrudan görüntülemese de, ‘xattr’ kullanarak nitelikleri kolayca çıkarabilir ve görüntüleyebiliriz.
Araştırmacılar, tehdit aktörü tarafından özel tür “test”in genişletilmiş bir özelliğinin tanımlandığını söylüyor.
.webp)
Tauri, web tabanlı, hafif masaüstü uygulamaları oluşturmaya yönelik bir çerçevedir. Programcıların uygulamalar oluşturmak için arka uç ve web ön ucu (HTML, CSS ve JavaScript) için Rust’u kullanmalarına olanak tanır.
Genişletilmiş özniteliklerde, kötü amaçlı komut dosyası uygulama tarafından alınacak ve yürütülecektir.
Araştırmacılar tarafından iki tür tuzak belirlendi. İlk tür yem, gerçekten de dosyadan bir PDF dosyasını alır.[.]com, bir dosya barındırma hizmetidir.
“Yatırım Karar Verme Anketi” oyun projesi geliştirme ve finansmanına ilişkin sorular içermektedir. İkinci tuzakta yalnızca “Bu uygulama bu sürümü desteklemiyor” yazan bir iletişim kutusu gösteriliyor.
Tauri uygulaması çalıştığında, bir HTML web sayfasını oluşturmak için bir Web Görünümü kullanmaya çalışır. TA tarafından internetten indirilen rastgele bir şablon kullanıldı.
Ancak araştırmacılar, bu sayfalara “preload.js” adı verilen başka bir şüpheli javascript parçasının yüklendiğini gördü.
.webp)
Tauri’deki ‘invoke’ işlevi, ön uç (JavaScript) ile arka uç (Rust) arasındaki iletişimi destekleyen ve ön ucun Rust işlevlerini çağırmasına, bağımsız değişkenler göndermesine ve veri almasına olanak tanıyan bir Uygulama Programlama Arayüzü’dür (API).
“Analizimiz sırasında dosyalar VirusTotal’da tamamen tespit edilemiyor, bunun nedeni muhtemelen kötü amaçlı bileşenlerin özniteliklerin içinde gizlenmiş olması.” dedi araştırmacılar.
Tavsiye
- Dosyaları indirme, açma veya yürütme isteklerine dikkat edin.
- Hiçbir zaman macOS Gatekeeper’ı kapatmayın veya bilinmeyen geliştiricilerin uygulamalarına izin vermeyin.
- Şirketi güvende tutmak için her zaman tetikte olmanız gerekir.
Analyze Unlimited Phishing & Malware with ANY.RUN For Free - 14 Days Free Trial.