RustyAttr Mac Malware

A kutatók megállapították, hogy a fenyegetés szereplői most olyan innovatív módszert alkalmaznak, amely kihasználja a macOS-fájlok kiterjesztett attribútumait, hogy elrejtse a RustyAttr néven ismert új fenyegetést.

Ezt az új kampányt ésszerűen összekapcsolták a jól ismert Lazarus csoporttal , amely Észak-Koreához kapcsolódik. A hozzárendelés a korábbi kampányokhoz, köztük a RustBuckethez kapcsolódó infrastruktúrában és taktikákban megfigyelt hasonlóságokon alapul.

A kiterjesztett attribútumok a fájlokhoz és könyvtárakhoz kapcsolódó kiegészítő metaadatokra vonatkoznak, amelyek az xattr néven ismert paranccsal érhetők el. Ezeket az attribútumokat általában a szabványos részleteken (például fájlméret, időbélyegek és engedélyek) túlmutató információk tárolására használják.

A fenyegető alkalmazások több kapcsolaton osztoznak

A kutatók fenyegető alkalmazásokat tártak fel, amelyeket a Tauri, az asztali alkalmazások többplatformos keretrendszerével hoztak létre, és aláírtak egy kiszivárgott tanúsítvány segítségével, amelyet az Apple azóta visszavont. Ezek az alkalmazások tartalmaznak egy kiterjesztett attribútumot, amely egy shell-szkript lekérésére és végrehajtására szolgál.

Amikor a shell szkript fut, aktivál egy csalit is, amelynek célja a figyelem elterelése. Ez a csali hibaüzenetet jeleníthet meg, amely szerint „Ez az alkalmazás nem támogatja ezt a verziót”, vagy megjeleníthet egy ártalmatlan PDF-fájlt, amely a játékprojektek fejlesztésével és finanszírozásával kapcsolatos.

Hogyan zajlik a RustyAttr támadás

Az alkalmazás indításakor a Tauri keretrendszer megpróbál egy HTML-weblapot megjeleníteni egy WebView segítségével, miközben a fenyegetés szereplője az internetről származó véletlenszerű sablont választja.

Ami különösen figyelemre méltó, hogy ezeket a weboldalakat nem biztonságos JavaScript betöltésére tervezték, amely kibontja a kiterjesztett attribútumok tartalmát, és egy Rust háttérprogramon keresztül hajtja végre. A hamis weboldal azonban csak akkor jelenik meg, ha nincsenek kiterjesztett attribútumok.

A kampány végső célja továbbra is bizonytalan, különösen azért, mert nincs bizonyíték további hasznos terhekre vagy megerősített áldozatokra.

Szerencsére a macOS rendszerek védelmet nyújtanak a felfedezett minták ellen. A támadás indításához a felhasználóknak le kell tiltaniuk a Gatekeepert a rosszindulatú programok beépített biztosítékainak megkerülésével. Valószínűleg bizonyos szintű felhasználói interakcióra és közösségi manipulációra lesz szükség ahhoz, hogy az áldozatokat rávegyék ezekre a műveletekre.