RustyAttr Mac 惡意軟體
研究人員發現,威脅行為者現在正在採用一種創新方法,利用 macOS 檔案中的擴充屬性來隱藏名為 RustyAttr 的新威脅。
這項新的活動與著名的拉撒路集團有合理的聯繫,該組織與北韓有聯繫。此歸因是基於觀察到與早期活動(包括 RustBucket)相關的基礎設施和策略的相似性。
擴展屬性是指連結到檔案和目錄的補充元數據,可以使用稱為 xattr 的命令進行存取。這些屬性通常用於儲存超出標準詳細資訊(例如檔案大小、時間戳記和權限)的資訊。
威脅應用程式共享多個連接
研究人員發現了使用 Tauri(桌面應用程式的跨平台框架)創建的威脅應用程序,並使用洩露的證書進行簽名,該證書已被 Apple 撤銷。這些應用程式包括一個擴充屬性,旨在檢索和執行 shell 腳本。
當 shell 腳本運行時,它還會啟動一個旨在轉移注意力的誘餌。該誘餌可能會顯示一條錯誤訊息,指出“此應用程式不支援此版本”,或顯示與遊戲項目開發和資金相關的無害 PDF。
RustyAttr 攻擊如何進行
當應用程式啟動時,Tauri 框架嘗試使用 WebView 顯示 HTML 網頁,威脅行為者選擇來自 Internet 的隨機範本。
特別值得注意的是,這些網頁被設計為載入不安全的 JavaScript,它提取擴充屬性的內容並透過 Rust 後端執行。但是,僅當不存在擴充屬性時才會顯示假網頁。
活動的最終目標仍不確定,特別是因為沒有證據表明有額外的有效載荷或已確認的受害者。
值得慶幸的是,macOS 系統針對已發現的樣本提供了一些保護。要發動攻擊,使用者需要繞過內建的惡意軟體防護措施來停用 Gatekeeper。可能需要一定程度的使用者互動和社會工程來說服受害者採取這些行動。
