Κακόβουλο λογισμικό RustyAttr Mac

Οι ερευνητές έχουν εντοπίσει ότι οι φορείς απειλών χρησιμοποιούν τώρα μια καινοτόμο μέθοδο που εκμεταλλεύεται εκτεταμένα χαρακτηριστικά σε αρχεία macOS για να κρύψει μια νέα απειλή γνωστή ως RustyAttr.

Αυτή η νέα εκστρατεία έχει εύλογα συνδεθεί με τη γνωστή Ομάδα Lazarus , η οποία συνδέεται με τη Βόρεια Κορέα. Η απόδοση βασίζεται σε παρατηρούμενες ομοιότητες στην υποδομή και τις τακτικές που σχετίζονται με προηγούμενες καμπάνιες, συμπεριλαμβανομένου του RustBucket.

Τα εκτεταμένα χαρακτηριστικά αναφέρονται σε συμπληρωματικά μεταδεδομένα που συνδέονται με αρχεία και καταλόγους, στα οποία μπορείτε να προσπελάσετε χρησιμοποιώντας μια εντολή γνωστή ως xattr. Αυτά τα χαρακτηριστικά χρησιμοποιούνται συνήθως για την αποθήκευση πληροφοριών πέρα από τυπικές λεπτομέρειες όπως το μέγεθος αρχείου, οι χρονικές σημάνσεις και τα δικαιώματα.

Απειλητικές εφαρμογές Κοινή χρήση πολλών συνδέσεων

Οι ερευνητές ανακάλυψαν απειλητικές εφαρμογές που δημιουργήθηκαν με το Tauri, ένα πλαίσιο πολλαπλών πλατφορμών για εφαρμογές επιτραπέζιων υπολογιστών, και υπέγραψαν χρησιμοποιώντας ένα πιστοποιητικό που διέρρευσε το οποίο η Apple έκτοτε έχει ανακαλέσει. Αυτές οι εφαρμογές περιλαμβάνουν ένα εκτεταμένο χαρακτηριστικό που έχει σχεδιαστεί για την ανάκτηση και εκτέλεση ενός σεναρίου φλοιού.

Όταν εκτελείται το σενάριο του κελύφους, ενεργοποιεί επίσης ένα δόλωμα που προορίζεται να εκτρέψει την προσοχή. Αυτό το δόλωμα μπορεί να παρουσιάσει ένα μήνυμα σφάλματος που δηλώνει: "Αυτή η εφαρμογή δεν υποστηρίζει αυτήν την έκδοση" ή να εμφανίζει ένα αβλαβές PDF που σχετίζεται με την ανάπτυξη και τη χρηματοδότηση του έργου gaming.

Πώς προχωρά η επίθεση RustyAttr

Όταν εκκινείται η εφαρμογή, το πλαίσιο Tauri επιχειρεί να εμφανίσει μια ιστοσελίδα HTML χρησιμοποιώντας ένα WebView, με τον παράγοντα απειλής να επιλέγει ένα τυχαίο πρότυπο που προέρχεται από το Διαδίκτυο.

Αυτό που είναι ιδιαίτερα αξιοσημείωτο είναι ότι αυτές οι ιστοσελίδες έχουν σχεδιαστεί για να φορτώνουν μη ασφαλή JavaScript, η οποία εξάγει το περιεχόμενο των εκτεταμένων χαρακτηριστικών και το εκτελεί μέσω ενός συστήματος υποστήριξης Rust. Ωστόσο, η ψεύτικη ιστοσελίδα εμφανίζεται μόνο εάν δεν υπάρχουν εκτεταμένα χαρακτηριστικά.

Ο απώτερος στόχος της εκστρατείας παραμένει αβέβαιος, ειδικά επειδή δεν υπάρχουν στοιχεία για πρόσθετα ωφέλιμα φορτία ή επιβεβαιωμένα θύματα.

Ευτυχώς, τα συστήματα macOS προσφέρουν κάποια προστασία έναντι των δειγμάτων που ανακαλύφθηκαν. Για να ξεκινήσει η επίθεση, οι χρήστες θα πρέπει να απενεργοποιήσουν το Gatekeeper παρακάμπτοντας τις ενσωματωμένες διασφαλίσεις κακόβουλου λογισμικού. Πιθανότατα θα απαιτηθεί κάποιο επίπεδο αλληλεπίδρασης με τους χρήστες και κοινωνικής μηχανικής για να πειστούν τα θύματα να προβούν σε αυτές τις ενέργειες.