RustyAttr Mac ļaunprātīga programmatūra
Pētnieki ir atklājuši, ka apdraudējuma dalībnieki tagad izmanto novatorisku metodi, kas izmanto MacOS failu paplašinātos atribūtus, lai slēptu jaunu apdraudējumu, kas pazīstams kā RustyAttr.
Šī jaunā kampaņa ir pamatoti saistīta ar labi zināmo Lazarus grupu , kas ir saistīta ar Ziemeļkoreju. Attiecinājuma pamatā ir novērotās infrastruktūras un taktikas līdzības, kas saistītas ar iepriekšējām kampaņām, tostarp RustBucket.
Paplašinātie atribūti attiecas uz papildu metadatiem, kas saistīti ar failiem un direktorijiem, kuriem var piekļūt, izmantojot komandu, kas pazīstama kā xattr. Šie atribūti parasti tiek izmantoti, lai saglabātu informāciju, kas pārsniedz standarta informāciju, piemēram, faila lielumu, laikspiedolus un atļaujas.
Bīstamām lietojumprogrammām ir vairāki savienojumi
Pētnieki ir atklājuši apdraudošas lietojumprogrammas, kas izveidotas ar Tauri — vairāku platformu sistēmu galddatoru lietojumprogrammām, un tās ir parakstījušas, izmantojot noplūdušo sertifikātu, kuru Apple kopš tā laika ir atsaukusi. Šīs lietojumprogrammas ietver paplašinātu atribūtu, kas paredzēts čaulas skripta izgūšanai un izpildei.
Kad čaulas skripts tiek palaists, tas aktivizē arī mānekli, kas paredzēts uzmanības novēršanai. Šis māneklis var parādīt kļūdas ziņojumu “Šī lietotne neatbalsta šo versiju” vai nekaitīgu PDF failu, kas saistīts ar spēļu projektu izstrādi un finansējumu.
Kā norisinās RustyAttr uzbrukums
Kad lietojumprogramma tiek palaista, Tauri ietvars mēģina parādīt HTML Web lapu, izmantojot WebView, apdraudējuma dalībniekam atlasot nejaušu veidni, kas iegūta no interneta.
Īpaši ievērības cienīgs ir tas, ka šīs tīmekļa lapas ir izstrādātas, lai ielādētu nedrošu JavaScript, kas izvelk paplašināto atribūtu saturu un izpilda to, izmantojot Rust aizmugursistēmu. Tomēr viltus Web lapa tiek rādīta tikai tad, ja tajā nav paplašinātu atribūtu.
Kampaņas galīgais mērķis joprojām ir neskaidrs, jo īpaši tāpēc, ka nav pierādījumu par papildu kravām vai apstiprinātiem upuriem.
Par laimi, macOS sistēmas piedāvā zināmu aizsardzību pret atklātajiem paraugiem. Lai sāktu uzbrukumu, lietotājiem būs jāatspējo Gatekeeper, apejot iebūvētos ļaunprātīgas programmatūras aizsardzības līdzekļus. Lai pārliecinātu upurus veikt šīs darbības, visticamāk, būs nepieciešama zināma lietotāja mijiedarbība un sociālā inženierija.
