RustyAttr Mac 恶意软件
研究人员发现,威胁行为者目前正在采用一种创新方法,利用 macOS 文件中的扩展属性来隐藏一种称为 RustyAttr 的新威胁。
此次新活动与著名的Lazarus Group有合理关联,该组织与朝鲜有联系。根据观察到的基础设施和策略与早期活动(包括 RustBucket)的相似性,我们将其归因于该组织。
扩展属性是指与文件和目录关联的补充元数据,可以使用名为 xattr 的命令访问。这些属性通常用于存储标准详细信息(如文件大小、时间戳和权限)以外的信息。
威胁应用程序共享多个连接
研究人员发现了使用 Tauri(一种跨平台桌面应用程序框架)创建的威胁应用程序,这些应用程序使用泄露的证书进行签名,而 Apple 现已撤销该证书。这些应用程序包含一个旨在检索和执行 shell 脚本的扩展属性。
当 shell 脚本运行时,它还会激活一个旨在转移注意力的诱饵。这个诱饵可能会显示一条错误消息,指出“此应用不支持此版本”,或显示与游戏项目开发和融资相关的无害 PDF。
RustyAttr 攻击如何进行
当应用程序启动时,Tauri 框架会尝试使用 WebView 显示 HTML 网页,威胁行为者会选择来自互联网的随机模板。
特别值得注意的是,这些网页被设计为加载不安全的 JavaScript,它会提取扩展属性的内容并通过 Rust 后端执行。然而,只有当不存在扩展属性时才会显示虚假网页。
此次活动的最终目标仍不确定,特别是没有证据表明有额外的有效载荷或确认的受害者。
值得庆幸的是,macOS 系统针对发现的样本提供了一些保护。要发起攻击,用户需要绕过内置的恶意软件防护措施来禁用 Gatekeeper。可能需要一定程度的用户交互和社会工程来说服受害者采取这些行动。
