RustyAttr मैक मैलवेयर
शोधकर्ताओं ने पहचान की है कि खतरा पैदा करने वाले अब एक नवीन विधि का उपयोग कर रहे हैं जो RustyAttr नामक एक नए खतरे को छिपाने के लिए macOS फ़ाइलों में विस्तारित विशेषताओं का लाभ उठाता है।
इस नए अभियान को उत्तर कोरिया से जुड़े जाने-माने लाजरस ग्रुप से उचित रूप से जोड़ा गया है। यह श्रेय रस्टबकेट सहित पहले के अभियानों से संबंधित बुनियादी ढांचे और रणनीति में देखी गई समानताओं पर आधारित है।
विस्तारित विशेषताएँ फ़ाइलों और निर्देशिकाओं से जुड़े पूरक मेटाडेटा को संदर्भित करती हैं, जिन्हें xattr नामक कमांड का उपयोग करके एक्सेस किया जा सकता है। इन विशेषताओं का उपयोग आम तौर पर फ़ाइल आकार, टाइमस्टैम्प और अनुमतियों जैसे मानक विवरणों से परे जानकारी संग्रहीत करने के लिए किया जाता है।
धमकी देने वाले एप्लिकेशन कई कनेक्शन साझा करते हैं
शोधकर्ताओं ने डेस्कटॉप अनुप्रयोगों के लिए क्रॉस-प्लेटफ़ॉर्म फ़्रेमवर्क, टॉरी के साथ बनाए गए ख़तरनाक अनुप्रयोगों का पता लगाया है, और एक लीक प्रमाणपत्र का उपयोग करके हस्ताक्षरित किया गया है जिसे Apple ने बाद में रद्द कर दिया है। इन अनुप्रयोगों में एक विस्तारित विशेषता शामिल है जिसे शेल स्क्रिप्ट को पुनः प्राप्त करने और निष्पादित करने के लिए डिज़ाइन किया गया है।
जब शेल स्क्रिप्ट चलती है, तो यह ध्यान भटकाने के लिए एक प्रलोभन भी सक्रिय करती है। यह प्रलोभन एक त्रुटि संदेश प्रस्तुत कर सकता है, जिसमें लिखा हो, "यह ऐप इस संस्करण का समर्थन नहीं करता है," या गेमिंग प्रोजेक्ट विकास और फंडिंग से संबंधित एक हानिरहित पीडीएफ प्रदर्शित कर सकता है।
रस्टीएटर हमला कैसे आगे बढ़ता है
जब एप्लिकेशन लॉन्च किया जाता है, तो टौरी फ्रेमवर्क एक वेबव्यू का उपयोग करके HTML वेब पेज प्रदर्शित करने का प्रयास करता है, जिसमें खतरा पैदा करने वाला व्यक्ति इंटरनेट से प्राप्त एक यादृच्छिक टेम्पलेट का चयन करता है।
खास तौर पर ध्यान देने वाली बात यह है कि ये वेबपेज असुरक्षित जावास्क्रिप्ट को लोड करने के लिए डिज़ाइन किए गए हैं, जो विस्तारित विशेषताओं की सामग्री को निकालता है और इसे रस्ट बैकएंड के माध्यम से निष्पादित करता है। हालाँकि, नकली वेब पेज केवल तभी दिखाया जाता है जब कोई विस्तारित विशेषताएँ मौजूद न हों।
अभियान का अंतिम उद्देश्य अभी भी अनिश्चित है, विशेषकर इसलिए क्योंकि इसमें अतिरिक्त पेलोड या पीड़ितों की पुष्टि का कोई सबूत नहीं है।
शुक्र है कि macOS सिस्टम खोजे गए नमूनों के खिलाफ़ कुछ सुरक्षा प्रदान करते हैं। हमले को शुरू करने के लिए, उपयोगकर्ताओं को अंतर्निहित मैलवेयर सुरक्षा उपायों को दरकिनार करके गेटकीपर को अक्षम करना होगा। पीड़ितों को ये कार्रवाई करने के लिए राजी करने के लिए कुछ हद तक उपयोगकर्ता सहभागिता और सामाजिक इंजीनियरिंग की आवश्यकता होगी।
