RustyAttr Mac Malware

Penyelidik telah mengenal pasti bahawa pelaku ancaman kini menggunakan kaedah inovatif yang mengambil kesempatan daripada atribut lanjutan dalam fail macOS untuk menyembunyikan ancaman baharu yang dikenali sebagai RustyAttr.

Kempen baharu ini telah dikaitkan secara munasabah dengan Kumpulan Lazarus yang terkenal, yang dikaitkan dengan Korea Utara. Atribusi adalah berdasarkan persamaan yang diperhatikan dalam infrastruktur dan taktik yang berkaitan dengan kempen terdahulu, termasuk RustBucket.

Atribut lanjutan merujuk kepada metadata tambahan yang dipautkan kepada fail dan direktori, yang boleh diakses menggunakan arahan yang dikenali sebagai xattr. Atribut ini biasanya digunakan untuk menyimpan maklumat melebihi butiran standard seperti saiz fail, cap masa dan kebenaran.

Aplikasi Mengancam Berkongsi Beberapa Sambungan

Penyelidik telah menemui aplikasi mengancam yang dibuat dengan Tauri, rangka kerja merentas platform untuk aplikasi desktop, dan ditandatangani menggunakan sijil bocor yang telah dibatalkan oleh Apple. Aplikasi ini termasuk atribut lanjutan yang direka untuk mendapatkan dan melaksanakan skrip shell.

Apabila skrip shell berjalan, ia juga mengaktifkan umpan yang bertujuan untuk mengalihkan perhatian. Tipu ini mungkin menunjukkan mesej ralat yang menyatakan, "Apl ini tidak menyokong versi ini" atau memaparkan PDF yang tidak berbahaya yang berkaitan dengan pembangunan dan pembiayaan projek permainan.

Bagaimana Serangan RustyAttr Berlanjutan

Apabila aplikasi dilancarkan, rangka kerja Tauri cuba memaparkan halaman Web HTML menggunakan WebView, dengan aktor ancaman memilih templat rawak yang diperoleh daripada Internet.

Apa yang patut diberi perhatian adalah bahawa halaman web ini direka bentuk untuk memuatkan JavaScript yang tidak selamat, yang mengekstrak kandungan atribut lanjutan dan melaksanakannya melalui bahagian belakang Rust. Walau bagaimanapun, halaman Web palsu hanya ditunjukkan jika tiada atribut lanjutan hadir.

Objektif utama kempen masih tidak pasti, terutamanya kerana tiada bukti muatan tambahan atau mangsa yang disahkan.

Syukurlah, sistem macOS menawarkan beberapa perlindungan terhadap sampel yang ditemui. Untuk memulakan serangan, pengguna perlu melumpuhkan Gatekeeper dengan memintas perlindungan perisian hasad terbina dalam. Beberapa tahap interaksi pengguna dan kejuruteraan sosial mungkin diperlukan untuk memujuk mangsa untuk mengambil tindakan ini.