RustyAttr Maci pahavara
Teadlased on tuvastanud, et ohus osalejad kasutavad nüüd uuenduslikku meetodit, mis kasutab ära MacOS-i failide laiendatud atribuute, et varjata uut ohtu, mida tuntakse nimega RustyAttr.
Seda uut kampaaniat on põhjendatult seostatud Põhja-Koreaga seotud tuntud Lazaruse grupiga . Omistamine põhineb varasemate kampaaniate, sealhulgas RustBucketiga seotud infrastruktuuri ja taktikate sarnasustel.
Laiendatud atribuudid viitavad failide ja kataloogidega lingitud täiendavatele metaandmetele, millele pääseb juurde käsuga xattr. Neid atribuute kasutatakse tavaliselt tavapärasest üksikasjadest (nt faili suurus, ajatemplid ja load) suurema teabe salvestamiseks.
Ähvardavad rakendused jagavad mitut ühendust
Teadlased on avastanud ähvardavad rakendused, mis on loodud lauaarvutirakenduste platvormidevahelise raamistikuga Tauri ja allkirjastasid lekkinud sertifikaadi, mille Apple on sellest ajast peale tühistanud. Need rakendused sisaldavad laiendatud atribuuti, mis on loodud shelliskripti toomiseks ja täitmiseks.
Kui kestaskript töötab, aktiveerib see ka tähelepanu kõrvalejuhtimiseks mõeldud peibutusvahendi. See peibutis võib kuvada veateate „See rakendus ei toeta seda versiooni” või kuvada mänguprojekti arendamise ja rahastamisega seotud kahjutu PDF-faili.
Kuidas RustyAttri rünnak kulgeb
Rakenduse käivitamisel üritab Tauri raamistik kuvada HTML-i veebilehte WebView abil, kusjuures ohutegija valib juhusliku Internetist pärit malli.
Eriti tähelepanuväärne on see, et need veebilehed on loodud laadima ebaturvalist JavaScripti, mis ekstraheerib laiendatud atribuutide sisu ja käivitab selle Rusti taustaprogrammi kaudu. Võltsveebilehte näidatakse aga ainult siis, kui laiendatud atribuute pole.
Kampaania lõppeesmärk on endiselt ebakindel, eriti kuna puuduvad tõendid täiendavate koormate või kinnitatud ohvrite kohta.
Õnneks pakuvad macOS-süsteemid avastatud proovide eest mõningast kaitset. Rünnaku algatamiseks peavad kasutajad sisseehitatud pahavara kaitsemeetmetest mööda minnes Gatekeeperi keelama. Ohvrite veenmiseks neid toiminguid tegema on tõenäoliselt vaja teatud tasemel kasutaja suhtlust ja sotsiaalset manipuleerimist.
