RustyAttr Mac -haittaohjelma
Tutkijat ovat havainneet, että uhkatoimijat käyttävät nyt innovatiivista menetelmää, joka hyödyntää macOS-tiedostojen laajennettuja attribuutteja peittääkseen uuden uhan, joka tunnetaan nimellä RustyAttr.
Tämä uusi kampanja on kohtuudella linkitetty tunnettuun Lazarus Groupiin , joka liittyy Pohjois-Koreaan. Attribuutio perustuu havaittuihin samankaltaisuuksiin infrastruktuurissa ja taktiikoissa, jotka liittyvät aikaisempiin kampanjoihin, mukaan lukien RustBucket.
Laajennetut attribuutit viittaavat tiedostoihin ja hakemistoihin linkitettyihin lisämetatietoihin, joita voidaan käyttää xattr-komennolla. Näitä attribuutteja käytetään yleensä tallentamaan tietoja, jotka eivät ole vakiotietoja, kuten tiedostokoko, aikaleimat ja käyttöoikeudet.
Uhkaavat sovellukset jakavat useita yhteyksiä
Tutkijat ovat paljastaneet uhkaavia sovelluksia, jotka on luotu Taurin avulla, joka on monikäyttöinen työpöytäsovellusten kehys, ja jotka on allekirjoitettu vuotaneella sertifikaatilla, jonka Apple on sittemmin kumonnut. Nämä sovellukset sisältävät laajennetun attribuutin, joka on suunniteltu noutamaan ja suorittamaan komentosarjan komentosarja.
Kun komentotulkkikomentosarja suoritetaan, se aktivoi myös houkutin, jonka tarkoituksena on kääntää huomio. Tämä houkutus voi näyttää virheilmoituksen "Tämä sovellus ei tue tätä versiota" tai näyttää vaarattoman PDF-tiedoston, joka liittyy peliprojektien kehittämiseen ja rahoitukseen.
Kuinka RustyAttr-hyökkäys etenee
Kun sovellus käynnistetään, Tauri-kehys yrittää näyttää HTML-verkkosivun WebView'n avulla, jolloin uhkatoimija valitsee Internetistä hankitun satunnaisen mallin.
Erityisen huomionarvoista on, että nämä verkkosivut on suunniteltu lataamaan vaarallista JavaScriptiä, joka poimii laajennettujen määritteiden sisällön ja suorittaa sen Rust-taustajärjestelmän kautta. Väärennetty Web-sivu näytetään kuitenkin vain, jos laajennettuja määritteitä ei ole.
Kampanjan lopullinen tavoite on edelleen epävarma, varsinkin kun ei ole näyttöä lisähyötykuormista tai vahvistetuista uhreista.
Onneksi macOS-järjestelmät tarjoavat jonkin verran suojaa löydettyjä näytteitä vastaan. Hyökkäyksen aloittamiseksi käyttäjien tulee poistaa Gatekeeper käytöstä ohittamalla sisäänrakennetut haittaohjelmasuojat. Jossain määrin käyttäjän vuorovaikutusta ja sosiaalista suunnittelua tarvitaan todennäköisesti uhrien suostutteluun näihin toimiin.
