„RustyAttr Mac“ kenkėjiška programa
Tyrėjai nustatė, kad grėsmės veikėjai dabar taiko naujovišką metodą, kuris naudojasi išplėstiniais „macOS“ failų atributais, kad nuslėptų naują grėsmę, žinomą kaip „RustyAttr“.
Ši nauja kampanija buvo pagrįstai susieta su gerai žinoma Lazarus Group , kuri yra susijusi su Šiaurės Korėja. Priskyrimas pagrįstas pastebėtais infrastruktūros ir taktikos panašumais, susijusiais su ankstesnėmis kampanijomis, įskaitant RustBucket.
Išplėstiniai atributai nurodo papildomus metaduomenis, susietus su failais ir katalogais, kuriuos galima pasiekti naudojant komandą, žinomą kaip xattr. Šie atributai paprastai naudojami informacijai, kuri nėra standartinė, saugoti, pvz., failo dydis, laiko žymos ir leidimai.
Grėsmingos programos dalijasi keliomis jungtimis
Tyrėjai atskleidė grėsmingas programas, sukurtas naudojant „Tauri“, kelių platformų sistemą, skirtą darbalaukio programoms, ir pasirašytas naudojant nutekėjusį sertifikatą, kurį „Apple“ nuo to laiko atšaukė. Šios programos apima išplėstinį atributą, skirtą gauti ir vykdyti apvalkalo scenarijų.
Kai vykdomas apvalkalo scenarijus, jis taip pat suaktyvina jauką, skirtą nukreipti dėmesį. Šis jaukas gali pateikti klaidos pranešimą, nurodantį: „Ši programa nepalaiko šios versijos“ arba rodyti nekenksmingą PDF failą, susijusį su žaidimų projekto kūrimu ir finansavimu.
Kaip vyksta „RustyAttr“ ataka
Kai programa paleidžiama, „Tauri“ sistema bando rodyti HTML tinklalapį naudodama „WebView“, o grėsmės veikėjas pasirenka atsitiktinį šabloną, gautą iš interneto.
Ypač verta atkreipti dėmesį į tai, kad šie tinklalapiai yra skirti įkelti nesaugų „JavaScript“, kuris ištraukia išplėstinių atributų turinį ir vykdo jį per „Rust“ pagrindinę programą. Tačiau netikras tinklalapis rodomas tik tuo atveju, jei nėra išplėstinių atributų.
Galutinis kampanijos tikslas tebėra neaiškus, ypač todėl, kad nėra jokių papildomų naudingų krovinių ar patvirtintų aukų įrodymų.
Laimei, „macOS“ sistemos suteikia tam tikrą apsaugą nuo aptiktų pavyzdžių. Norėdami pradėti ataką, vartotojai turės išjungti „Gatekeeper“, apeinant integruotas kenkėjiškų programų apsaugos priemones. Tikėtina, kad norint įtikinti aukas imtis šių veiksmų, reikės tam tikro vartotojo sąveikos ir socialinės inžinerijos.
