มัลแวร์ RustyAttr Mac
นักวิจัยระบุว่าผู้ก่อภัยคุกคามกำลังใช้แนวทางใหม่ในการใช้ประโยชน์จากแอตทริบิวต์ที่ขยายในไฟล์ macOS เพื่อปกปิดภัยคุกคามใหม่ที่เรียกว่า RustyAttr
แคมเปญใหม่นี้มีความเชื่อมโยงอย่างสมเหตุสมผลกับ กลุ่ม Lazarus Group ที่มีชื่อเสียง ซึ่งมีความเกี่ยวข้องกับเกาหลีเหนือ การระบุแหล่งที่มาขึ้นอยู่กับความคล้ายคลึงที่สังเกตได้ในด้านโครงสร้างพื้นฐานและกลยุทธ์ที่เกี่ยวข้องกับแคมเปญก่อนหน้านี้ รวมถึง RustBucket
แอตทริบิวต์ที่ขยายเพิ่มหมายถึงข้อมูลเมตาเสริมที่เชื่อมโยงกับไฟล์และไดเร็กทอรี ซึ่งสามารถเข้าถึงได้โดยใช้คำสั่งที่เรียกว่า xattr โดยทั่วไปแอตทริบิวต์เหล่านี้จะใช้เพื่อจัดเก็บข้อมูลที่เกินกว่ารายละเอียดมาตรฐาน เช่น ขนาดไฟล์ ไทม์สแตมป์ และสิทธิ์อนุญาต
แอปพลิเคชั่นที่คุกคามมีการแบ่งปันการเชื่อมต่อหลายรายการ
นักวิจัยได้เปิดเผยแอปพลิเคชั่นที่เป็นอันตรายซึ่งสร้างขึ้นด้วย Tauri ซึ่งเป็นเฟรมเวิร์กข้ามแพลตฟอร์มสำหรับแอปพลิเคชั่นเดสก์ท็อป และลงนามโดยใช้ใบรับรองที่รั่วไหลซึ่ง Apple ได้เพิกถอนไปแล้ว แอปพลิเคชั่นเหล่านี้มีแอตทริบิวต์ขยายที่ออกแบบมาเพื่อดึงและเรียกใช้สคริปต์เชลล์
เมื่อสคริปต์เชลล์ทำงาน ก็จะเปิดใช้งานตัวล่อเพื่อเบี่ยงเบนความสนใจด้วย ตัวล่อนี้อาจแสดงข้อความแสดงข้อผิดพลาดว่า "แอปนี้ไม่รองรับเวอร์ชันนี้" หรือแสดง PDF ที่ไม่เป็นอันตรายที่เกี่ยวข้องกับการพัฒนาและการระดมทุนสำหรับโครงการเกม
การโจมตี RustyAttr ดำเนินไปอย่างไร
เมื่อเปิดใช้งานแอปพลิเคชัน เฟรมเวิร์ก Tauri จะพยายามแสดงหน้าเว็บ HTML โดยใช้ WebView โดยผู้ก่อให้เกิดภัยคุกคามจะเลือกเทมเพลตแบบสุ่มจากอินเทอร์เน็ต
สิ่งที่น่าสังเกตเป็นพิเศษคือหน้าเว็บเหล่านี้ได้รับการออกแบบมาเพื่อโหลด JavaScript ที่ไม่ปลอดภัย ซึ่งจะแยกเนื้อหาของแอตทริบิวต์ที่ขยายแล้วและดำเนินการผ่านแบ็กเอนด์ Rust อย่างไรก็ตาม หน้าเว็บปลอมจะแสดงเฉพาะในกรณีที่ไม่มีแอตทริบิวต์ที่ขยายแล้วเท่านั้น
วัตถุประสงค์ขั้นสุดท้ายของแคมเปญยังคงไม่ชัดเจน โดยเฉพาะอย่างยิ่งเนื่องจากไม่มีหลักฐานใดๆ ของการบรรทุกเพิ่มเติมหรือเหยื่อที่ได้รับการยืนยัน
โชคดีที่ระบบ macOS มีระบบป้องกันบางอย่างที่ตรวจพบ หากต้องการเริ่มการโจมตี ผู้ใช้จะต้องปิดใช้งาน Gatekeeper โดยหลีกเลี่ยงการป้องกันมัลแวร์ในตัว อาจต้องมีการโต้ตอบของผู้ใช้และการใช้กลวิธีทางสังคมในระดับหนึ่งเพื่อโน้มน้าวเหยื่อให้ดำเนินการดังกล่าว
