随着网络攻击手段的不断升级,恶意软件也在不断地进化。最近,一种名为RustyAttr的新恶意软件针对macOS用户,通过滥用文件的扩展属性进行传播,引起了广泛关注。
新加坡网络安全公司Group-IB发现,名为RustyAttr的新恶意软件利用macOS文件的扩展属性来隐藏其恶意行为。扩展属性是与文件和目录关联的额外元数据,可以通过xattr命令提取。这些属性通常用于存储超出标准属性(如文件大小、时间戳和权限)的信息。该恶意软件被认为是与朝鲜有关的Lazarus Group所为,该组织以其基础设施和战术重叠而闻名。RustyAttr通过滥用文件的扩展属性来加载和执行恶意脚本。
Group-IB发现的恶意应用程序使用Tauri框架构建,这是一个跨平台的桌面应用程序框架,并且使用泄露的证书签名,该证书后来已被苹果撤销。这些应用程序包含一个配置为获取和运行shell脚本的扩展属性。执行shell脚本还会触发一个诱饵,作为分散注意力的机制,要么显示错误消息“此应用程序不支持此版本”,要么显示与游戏项目开发和资金相关的看似无害的PDF文档。
当应用程序执行时,Tauri应用程序尝试使用WebView渲染HTML网页。这些网页被设计为加载恶意JavaScript,然后通过Rust后端获取扩展属性的内容并执行它。如果没有扩展属性,最终只显示假网页。幸运的是,macOS系统为发现的样本提供了一定程度的保护。要触发攻击,用户必须禁用Gatekeeper,通过覆盖恶意软件保护。
RustyAttr恶意软件的出现提醒我们,网络安全是一个持续的战斗,需要不断的警惕和创新的防御措施。对于macOS用户来说,保持警惕,不随意下载不明来源的软件,以及及时更新系统和应用程序,是防止此类攻击的关键。
球分享
球点赞
球在看