RustyAttr البرامج الضارة لنظام التشغيل Mac
اكتشف الباحثون أن الجهات الفاعلة في مجال التهديد تستخدم الآن طريقة مبتكرة تستفيد من السمات الموسعة في ملفات macOS لإخفاء تهديد جديد يُعرف باسم RustyAttr.
تم ربط هذه الحملة الجديدة بشكل معقول بمجموعة Lazarus Group المعروفة، والتي ترتبط بكوريا الشمالية. ويستند الإسناد إلى أوجه التشابه الملحوظة في البنية التحتية والتكتيكات المتعلقة بالحملات السابقة، بما في ذلك RustBucket.
تشير السمات الممتدة إلى البيانات الوصفية التكميلية المرتبطة بالملفات والدلائل، والتي يمكن الوصول إليها باستخدام أمر يُعرف باسم xattr. تُستخدم هذه السمات عادةً لتخزين معلومات تتجاوز التفاصيل القياسية مثل حجم الملف وطوابع الوقت والأذونات.
التطبيقات المهددة تشترك في عدة اتصالات
اكتشف الباحثون تطبيقات خطيرة تم إنشاؤها باستخدام Tauri، وهو إطار عمل متعدد الأنظمة لتطبيقات سطح المكتب، وتم التوقيع عليها باستخدام شهادة مسربة قامت Apple بإلغائها منذ ذلك الحين. تتضمن هذه التطبيقات سمة ممتدة مصممة لاسترداد وتنفيذ برنامج نصي.
عند تشغيل البرنامج النصي، فإنه يقوم أيضًا بتنشيط برنامج وهمي يهدف إلى تحويل الانتباه. قد يعرض هذا البرنامج الوهمي رسالة خطأ تنص على أن "هذا التطبيق لا يدعم هذا الإصدار"، أو يعرض ملف PDF غير ضار يتعلق بتطوير مشروع الألعاب وتمويله.
كيف يتم تنفيذ هجوم RustyAttr
عند تشغيل التطبيق، يحاول إطار عمل Tauri عرض صفحة ويب HTML باستخدام WebView، حيث يقوم الفاعل بالتهديد باختيار قالب عشوائي يتم الحصول عليه من الإنترنت.
الأمر الجدير بالملاحظة بشكل خاص هو أن صفحات الويب هذه مصممة لتحميل JavaScript غير الآمن، والذي يستخرج محتوى السمات الممتدة وينفذه من خلال واجهة Rust الخلفية. ومع ذلك، لا يتم عرض صفحة الويب المزيفة إلا إذا لم تكن هناك سمات ممتدة موجودة.
ويظل الهدف النهائي للحملة غير مؤكد، خاصة أنه لا يوجد دليل على وجود حمولات إضافية أو ضحايا مؤكدين.
لحسن الحظ، توفر أنظمة macOS بعض الحماية ضد العينات المكتشفة. لبدء الهجوم، سيحتاج المستخدمون إلى تعطيل Gatekeeper من خلال تجاوز إجراءات الحماية المضمنة ضد البرامج الضارة. ومن المرجح أن تكون هناك حاجة إلى مستوى معين من تفاعل المستخدم والهندسة الاجتماعية لإقناع الضحايا باتخاذ هذه الإجراءات.
