Malware RustyAttr Mac
Studiuesit kanë identifikuar se aktorët e kërcënimit tani po përdorin një metodë inovative që përfiton nga atributet e zgjeruara në skedarët macOS për të fshehur një kërcënim të ri të njohur si RustyAttr.
Kjo fushatë e re ka qenë e lidhur në mënyrë të arsyeshme me grupin e mirënjohur Lazarus , i cili është i lidhur me Korenë e Veriut. Atribuimi bazohet në ngjashmëritë e vërejtura në infrastrukturë dhe taktikat që lidhen me fushatat e mëparshme, duke përfshirë RustBucket.
Atributet e zgjeruara i referohen meta të dhënave shtesë të lidhura me skedarë dhe drejtori, të cilat mund të aksesohen duke përdorur një komandë të njohur si xattr. Këto atribute zakonisht përdoren për të ruajtur informacione përtej detajeve standarde si madhësia e skedarit, vulat kohore dhe lejet.
Aplikacionet kërcënuese ndajnë disa lidhje
Studiuesit kanë zbuluar aplikacione kërcënuese të krijuara me Tauri, një kornizë ndër-platformësh për aplikacionet desktop, dhe kanë nënshkruar duke përdorur një certifikatë të rrjedhur që Apple e ka anuluar që atëherë. Këto aplikacione përfshijnë një atribut të zgjeruar të krijuar për të tërhequr dhe ekzekutuar një skript shell.
Kur ekzekutohet skripti i guaskës, ai gjithashtu aktivizon një mashtrim që synon të largojë vëmendjen. Ky mashtrim mund të paraqesë një mesazh gabimi që thotë: "Ky aplikacion nuk e mbështet këtë version" ose të shfaqë një PDF të padëmshëm në lidhje me zhvillimin dhe financimin e projektit të lojërave.
Si vazhdon Sulmi RustyAttr
Kur aplikacioni niset, korniza Tauri përpiqet të shfaqë një faqe në internet HTML duke përdorur një WebView, me aktorin e kërcënimit që zgjedh një shabllon të rastësishëm me burim nga Interneti.
Ajo që vlen veçanërisht për t'u përmendur është se këto faqe ueb janë krijuar për të ngarkuar JavaScript të pasigurt, i cili nxjerr përmbajtjen e atributeve të zgjeruara dhe e ekzekuton atë përmes një sfondi Rust. Megjithatë, faqja e rreme e internetit shfaqet vetëm nëse nuk ka atribute të zgjeruara.
Objektivi përfundimtar i fushatës mbetet i pasigurt, veçanërisht pasi nuk ka dëshmi të ngarkesave shtesë ose viktimave të konfirmuara.
Fatmirësisht, sistemet macOS ofrojnë njëfarë mbrojtjeje kundër mostrave të zbuluara. Për të nisur sulmin, përdoruesit do të duhet të çaktivizojnë Gatekeeper duke anashkaluar mbrojtjen e integruar të malware. Ka të ngjarë të kërkohet një nivel i ndërveprimit të përdoruesit dhe inxhinierisë sociale për të bindur viktimat të ndërmarrin këto veprime.
