RustyAttr Mac תוכנה זדונית
חוקרים זיהו שגורמי איומים משתמשים כעת בשיטה חדשנית המנצלת את התכונות המורחבות בקבצי macOS כדי להסתיר איום חדש המכונה RustyAttr.
הקמפיין החדש הזה נקשר באופן סביר לקבוצת לזרוס הידועה, המזוהה עם צפון קוריאה. הייחוס מבוסס על קווי דמיון שנצפו בתשתית ובטקטיקות הקשורות לקמפיינים קודמים, כולל RustBucket.
תכונות מורחבות מתייחסות למטא נתונים משלימים המקושרים לקבצים וספריות, שאליהם ניתן לגשת באמצעות פקודה המכונה xattr. תכונות אלו משמשות בדרך כלל לאחסון מידע מעבר לפרטים סטנדרטיים כמו גודל קובץ, חותמות זמן והרשאות.
יישומים מאיימים חולקים מספר חיבורים
חוקרים חשפו יישומים מאיימים שנוצרו עם Tauri, מסגרת חוצת פלטפורמות ליישומי שולחן עבודה, ונחתמו באמצעות אישור דלף שאפל ביטלה מאז. יישומים אלה כוללים תכונה מורחבת שנועדה לאחזר ולבצע סקריפט מעטפת.
כאשר סקריפט המעטפת פועל, הוא מפעיל גם פתיל שנועד להסיט את תשומת הלב. פתיל זה עשוי להציג הודעת שגיאה המציינת, "אפליקציה זו אינה תומכת בגרסה זו", או להציג קובץ PDF תמים הקשור לפיתוח ומימון של פרויקטי משחקים.
כיצד מתקפת RustyAttr ממשיכה
כאשר האפליקציה מופעלת, המסגרת של Tauri מנסה להציג דף אינטרנט HTML באמצעות WebView, כאשר שחקן האיום בוחר תבנית אקראית שמקורה מהאינטרנט.
מה שראוי לציין במיוחד הוא שדפי אינטרנט אלה נועדו לטעון JavaScript לא בטוח, אשר מחלץ את התוכן של התכונות המורחבות ומבצע אותו דרך קצה אחורי של Rust. עם זאת, דף האינטרנט המזויף מוצג רק אם אין תכונות מורחבות.
המטרה הסופית של הקמפיין נותרה לא ברורה, במיוחד מכיוון שאין ראיות למטענים נוספים או לקורבנות מאושרים.
למרבה המזל, מערכות macOS מציעות הגנה מסוימת מפני הדוגמאות שהתגלו. כדי ליזום את המתקפה, המשתמשים יצטרכו להשבית את Gatekeeper על ידי עקיפת אמצעי ההגנה המובנים של תוכנות זדוניות. ככל הנראה תידרש רמה מסוימת של אינטראקציה עם משתמשים והנדסה חברתית כדי לשכנע את הקורבנות לנקוט בפעולות אלו.
