Analyse Mail Phishing
#Phishing en entreprise : une plongée dans la détection et l’analyse d’un mail malveillant
Bandeau Obscura Ransomware
#Obscura en action : découverte et analyse de ce "nouveau" ransomware
Gremlin Stealer
#Gremlin Stealer : Le nouveau voleur d’informations en vogue
Illustration du malware Chaya_003
#Chaya_003 : Un malware qui sème le chaos dans les systèmes OT industriels

RustyAttr Trojan : Le nouveau malware macOS du groupe Lazarus se rit des antivirus

Un Trojan macOS qui évite les antivirus avec une simplicité déconcertante

Les chercheurs de Group-IB ont découvert une nouvelle technique furtive utilisée par le groupe nord-coréen Lazarus, visant les systèmes macOS grâce à une méthode ingénieuse de code-smuggling. Fini les méthodes traditionnelles, Lazarus ajoute à son arsenal des attributs étendus personnalisés, rendant le malware invisible pour les logiciels antivirus. Rien que ça !

Les attributs étendus : Le cachette parfaite

Les attributs étendus permettent d'attacher des métadonnées supplémentaires aux fichiers, au-delà des attributs classiques comme la taille ou les dates. Lazarus en profite pour y planquer son code malveillant, échappant ainsi aux méthodes de détection habituelles. Une astuce brillante qui, selon le rapport, « a efficacement contourné la majorité des scanners antivirus. »

RustyAttr : Un malware en mode furtif

Le nouveau Trojan macOS, nommé RustyAttr, a été développé avec le framework Tauri. Ce dernier permet d’utiliser une interface web pour des applications de bureau, tout en embarquant du code Rust en backend. Évidemment, Lazarus a détourné cette combinaison pour dissimuler son code malveillant dans les fameux attributs étendus, sans que l'utilisateur ne s'en aperçoive. Élégant, non ?

Des leurres pour détourner l'attention

Pour que tout fonctionne sans éveiller les soupçons, Lazarus utilise des leurres comme un PDF anodin intitulé « Questionnaire sur la prise de décision en investissement », ou encore une boîte de dialogue factice indiquant « Cette application ne supporte pas cette version ». Pendant ce temps, le malware agit tranquillement en arrière-plan.

Et maintenant ?

L'utilisation des attributs étendus par Lazarus représente un défi pour les futures méthodes de détection. Pour l'instant, les échantillons de RustyAttr ne sont pas certifiés, mais les chercheurs avertissent que des versions plus abouties pourraient contourner les protections de macOS, comme Gatekeeper. « Une certaine interaction sociale sera probablement nécessaire... mais cela pourrait ne plus être le cas pour les futures versions », préviennent les experts. Effrayant, non ?

Conclusion

Le groupe Lazarus continue d'innover avec des techniques de plus en plus sophistiquées. Cette fois, c'est grâce aux attributs étendus qu'il fait tourner la tête aux antivirus macOS, prouvant une fois de plus que la cybercriminalité a toujours une longueur d'avance.

Source : securityonline.info
@NOP_FIX 2025