РустиАттр Мац малвер

Истраживачи су идентификовали да актери претњи сада користе иновативну методу која користи предности проширених атрибута у мацОС датотекама да би сакрила нову претњу познату као РустиАттр.

Ова нова кампања је разумно повезана са добро познатом Лазарус групом , која је повезана са Северном Корејом. Атрибуција је заснована на уоченим сличностима у инфраструктури и тактикама у вези са ранијим кампањама, укључујући РустБуцкет.

Проширени атрибути се односе на додатне метаподатке повезане са датотекама и директоријумима, којима се може приступити помоћу команде познате као каттр. Ови атрибути се обично користе за чување информација изван стандардних детаља као што су величина датотеке, временске ознаке и дозволе.

Пријетеће апликације дијеле неколико веза

Истраживачи су открили претеће апликације креиране помоћу Таури, вишеплатформског оквира за десктоп апликације, и потписане помоћу процурелог сертификата који је Аппле од тада опозвао. Ове апликације укључују проширени атрибут дизајниран да преузме и изврши схелл скрипту.

Када се схелл скрипта покрене, она такође активира мамац намењен да скрене пажњу. Овај мамац може да прикаже поруку о грешци у којој се наводи: „Ова апликација не подржава ову верзију“ или да прикаже безопасан ПДФ везан за развој и финансирање пројекта за игре.

Како се РустиАттр напад одвија

Када се апликација покрене, Таури фрамеворк покушава да прикаже ХТМЛ веб страницу помоћу ВебВиев-а, при чему актер претње бира насумични шаблон са Интернета.

Оно што је посебно вредно пажње је да су ове веб странице дизајниране да учитавају небезбедни ЈаваСцрипт, који издваја садржај проширених атрибута и извршава га кроз Руст бацкенд. Међутим, лажна веб страница се приказује само ако нису присутни проширени атрибути.

Крајњи циљ кампање остаје неизвестан, посебно зато што нема доказа о додатном терету или потврђеним жртвама.

Срећом, мацОС системи нуде одређену заштиту од откривених узорака. Да би започели напад, корисници би морали да онемогуће Гатекеепер заобилазећи уграђене заштитне мере против малвера. Вероватно ће бити потребан одређени ниво интеракције корисника и друштвеног инжењеринга да би се жртве убедиле да предузму ове радње.