RustyAttr Mac zlonamjerni softver
Istraživači su otkrili da akteri prijetnji sada koriste inovativnu metodu koja iskorištava prednosti proširenih atributa u macOS datotekama za prikrivanje nove prijetnje poznate kao RustyAttr.
Ova nova kampanja je razumno povezana s dobro poznatom Lazarus Groupom , koja je povezana sa Sjevernom Korejom. Atribucija se temelji na uočenim sličnostima u infrastrukturi i taktikama povezanim s ranijim kampanjama, uključujući RustBucket.
Prošireni atributi odnose se na dodatne metapodatke povezane s datotekama i direktorijima, kojima se može pristupiti pomoću naredbe poznate kao xattr. Ti se atributi obično koriste za pohranu informacija izvan standardnih detalja kao što su veličina datoteke, vremenske oznake i dopuštenja.
Prijeteće aplikacije dijele nekoliko veza
Istraživači su otkrili prijeteće aplikacije stvorene pomoću Taurija, međuplatformskog okvira za stolne aplikacije, i potpisane korištenjem procurjelog certifikata koji je Apple u međuvremenu opozvao. Ove aplikacije uključuju prošireni atribut dizajniran za dohvaćanje i izvršavanje skripte ljuske.
Kada se shell skripta pokrene, ona također aktivira mamac namijenjen odvraćanju pažnje. Ovaj mamac može predstavljati poruku o pogrešci u kojoj stoji: "Ova aplikacija ne podržava ovu verziju" ili prikazati bezazleni PDF koji se odnosi na razvoj i financiranje projekta igara.
Kako se nastavlja RustyAttr napad
Kada se aplikacija pokrene, okvir Tauri pokušava prikazati HTML web stranicu pomoću WebViewa, pri čemu akter prijetnje odabire nasumični predložak s interneta.
Ono što je posebno vrijedno pažnje je da su ove web-stranice dizajnirane za učitavanje nesigurnog JavaScripta, koji izvlači sadržaj proširenih atributa i izvršava ga kroz Rust backend. Međutim, lažna web stranica prikazuje se samo ako nema proširenih atributa.
Konačni cilj kampanje ostaje neizvjestan, pogotovo jer nema dokaza o dodatnom teretu ili potvrđenim žrtvama.
Srećom, macOS sustavi nude određenu zaštitu od otkrivenih uzoraka. Da bi započeli napad, korisnici bi trebali onemogućiti Gatekeeper zaobilazeći ugrađene zaštite od zlonamjernog softvera. Vjerojatno će biti potrebna određena razina korisničke interakcije i društvenog inženjeringa kako bi se žrtve uvjerile da poduzmu ove radnje.
