Menyembunyikan Kode dalam Atribut File

Menyembunyikan Kode dalam Atribut File

Peretas menggunakan atribut file macOS yang diperluas untuk menyembunyikan kode berbahaya. Teknik yang menyembunyikan kode dalam atribut file tentu sangat berbahaya, berikut pemaparannya.

Peretas menggunakan teknik baru yang menyalahgunakan atribut yang diperluas untuk file macOS guna mengirimkan trojan baru yang sangat berbahaya.

Pelaku tersebut menyembunyikan kode berbahaya dalam metadata file khusus dan juga menggunakan dokumen PDF yang menipu untuk membantu menghindari deteksi.

Teknik baru ini mirip dengan bagaimana adware Bundlore pada tahun 2020 menyembunyikan muatannya di cabang sumber daya untuk menyembunyikan muatan untuk macOS.

Hal ini ditemukan dalam beberapa sampel malware, meskipun belum diketahui adanya korban, namun serangan ini mengarah pada kelompok siber tertentu.

Para peneliti mengaitkan sampel tersebut dengan pelaku dari Korea Utara Lazarus. Mereka menduga penyerang bereksperimen dengan solusi pengiriman malware baru.

Meskipun tidak umum, metode ini terbukti efisien terhadap deteksi, ditandai dengan tidak adanya agen keamanan di Virus Total yang menandai file tersebut berbahaya.

Baca juga: Menyembunyikan Malware dalam File ZIP

Menyembunyikan Kode dalam Atribut File

Atribut tambahan macOS (EA) merupakan metadata tersembunyi yang biasanya dikaitkan dengan file dan direktori, yang tidak dapat dilihat secara langsung dengan Finder atau terminal.

Tetapi dapat diekstraksi menggunakan perintah ‘xattr’ untuk menampilkan, mengedit, atau menghapus atribut tambahan.

Dalam kasus serangan RustyAttr, nama EA adalah ‘test’ dan berisi skrip shell.

Aplikasi jahat yang menyimpan EA dibuat menggunakan framework Tauri, yang menggabungkan frontend web (HTML, JavaScript) yang dapat memanggil fungsi pada backend Rust.

Saat aplikasi berjalan, aplikasi akan memuat halaman web yang berisi JavaScript (‘preload.js’) yang mendapatkan konten dari lokasi yang ditunjukkan dalam EA “test” dan mengirimkannya ke fungsi ‘run_command’ agar skrip shell dapat dieksekusi.

Untuk menjaga agar kecurigaan pengguna tetap rendah selama proses ini, beberapa contoh meluncurkan file PDF tipuan atau menampilkan dialog kesalahan.

PDF diambil dari instans pCloud untuk berbagi berkas publik yang juga berisi entri dengan nama yang terkait dengan topik investasi mata uang kripto, yang sejalan dengan target dan tujuan Lazarus.

Beberapa sampel aplikasi RustyAttr yang ditemukan Group-IB semuanya lolos uji deteksi pada Virus Total dan aplikasi ditandatangani menggunakan sertifikat yang bocor, yang telah dicabut Apple, tetapi tidak disahkan oleh notaris.

Group-IB tidak dapat mengambil dan menganalisis malware tahap berikutnya tetapi menemukan bahwa server pementasan terhubung ke titik akhir yang diketahui dalam infrastruktur Lazarus untuk mencoba mengambilnya.

Baca juga: Malware Bersembunyi dalam Gambar

Eksperimen Penghindaran macOS

Kasus yang dilaporkan oleh Group-IB sangat mirip dengan laporan terbaru lainnya, dimana peneliti mengamati pelaku, Korea Utara BlueNoroff bereksperimen dengan teknik yang serupa namun berbeda untuk penghindaran di macOS.

BlueNoroff menggunakan phishing bertema mata uang kripto untuk memikat target agar mengunduh aplikasi berbahaya yang ditandatangani dan disahkan oleh notaris.

Aplikasi tersebut menggunakan file ‘Info.plist’ yang dimodifikasi untuk secara diam-diam memicu koneksi berbahaya ke domain yang dikendalikan penyerang tempat muatan tahap kedua diambil.

Tidak diketahui apakah kampanye tersebut saling terkait, tetapi merupakan hal yang umum bagi kluster aktivitas yang terpisah untuk menggunakan informasi yang sama tentang cara efektif membobol sistem macOS tanpa memicu alarm.

 

 

 

Baca lainnya:

 

 

Sumber berita:

 

Prosperita IT News