Zlonamerna programska oprema za Mac RustyAttr
Raziskovalci so ugotovili, da akterji groženj zdaj uporabljajo inovativno metodo, ki izkorišča prednosti razširjenih atributov v datotekah macOS za prikrivanje nove grožnje, znane kot RustyAttr.
Ta nova kampanja je bila upravičeno povezana z dobro znano skupino Lazarus Group , ki je povezana s Severno Korejo. Pripisovanje temelji na opaženih podobnostih v infrastrukturi in taktikah, povezanih s prejšnjimi kampanjami, vključno z RustBucket.
Razširjeni atributi se nanašajo na dodatne metapodatke, povezane z datotekami in imeniki, do katerih lahko dostopate z ukazom, znanim kot xattr. Ti atributi se običajno uporabljajo za shranjevanje informacij poleg standardnih podrobnosti, kot so velikost datoteke, časovni žigi in dovoljenja.
Nevarne aplikacije si delijo več povezav
Raziskovalci so odkrili nevarne aplikacije, ustvarjene s Taurijem, medplatformskim ogrodjem za namizne aplikacije, in podpisane z razkritim potrdilom, ki ga je Apple medtem preklical. Te aplikacije vključujejo razširjen atribut, zasnovan za pridobivanje in izvajanje lupinskega skripta.
Ko se lupinski skript zažene, aktivira tudi vabo, namenjeno preusmerjanju pozornosti. Ta vaba lahko prikaže sporočilo o napaki, ki navaja: "Ta aplikacija ne podpira te različice," ali prikaže neškodljiv PDF, povezan z razvojem in financiranjem projektov iger.
Kako poteka napad RustyAttr
Ko se aplikacija zažene, poskuša ogrodje Tauri prikazati spletno stran HTML z uporabo spletnega pogleda, pri čemer akter grožnje izbere naključno predlogo, pridobljeno iz interneta.
Posebej omembe vredno je, da so te spletne strani zasnovane za nalaganje nevarnega JavaScripta, ki ekstrahira vsebino razširjenih atributov in jo izvaja prek zaledja Rust. Vendar pa je lažna spletna stran prikazana le, če ni prisotnih nobenih razširjenih atributov.
Končni cilj kampanje ostaja negotov, zlasti ker ni dokazov o dodatnem tovoru ali potrjenih žrtvah.
Na srečo sistemi macOS ponujajo nekaj zaščite pred odkritimi vzorci. Za začetek napada bi morali uporabniki onemogočiti Gatekeeper tako, da zaobidejo vgrajene zaščite pred zlonamerno programsko opremo. Za prepričevanje žrtev v ta dejanja bo verjetno potrebna določena stopnja interakcije z uporabniki in družbenega inženiringa.
