黑客使用 macOS 扩展文件属性隐藏恶意代码
2024-11-15 17:59:0 Author: mp.weixin.qq.com(查看原文) 阅读量:1 收藏

随着网络攻击手段的不断升级,恶意软件也在不断地进化。最近,一种名为RustyAttr的新恶意软件针对macOS用户,通过滥用文件的扩展属性进行传播,引起了广泛关注。

新加坡网络安全公司Group-IB发现,名为RustyAttr的新恶意软件利用macOS文件的扩展属性来隐藏其恶意行为。扩展属性是与文件和目录关联的额外元数据,可以通过xattr命令提取。这些属性通常用于存储超出标准属性(如文件大小、时间戳和权限)的信息。该恶意软件被认为是与朝鲜有关的Lazarus Group所为,该组织以其基础设施和战术重叠而闻名。RustyAttr通过滥用文件的扩展属性来加载和执行恶意脚本。

Group-IB发现的恶意应用程序使用Tauri框架构建,这是一个跨平台的桌面应用程序框架,并且使用泄露的证书签名,该证书后来已被苹果撤销。这些应用程序包含一个配置为获取和运行shell脚本的扩展属性。执行shell脚本还会触发一个诱饵,作为分散注意力的机制,要么显示错误消息“此应用程序不支持此版本”,要么显示与游戏项目开发和资金相关的看似无害的PDF文档。

当应用程序执行时,Tauri应用程序尝试使用WebView渲染HTML网页。这些网页被设计为加载恶意JavaScript,然后通过Rust后端获取扩展属性的内容并执行它。如果没有扩展属性,最终只显示假网页。幸运的是,macOS系统为发现的样本提供了一定程度的保护。要触发攻击,用户必须禁用Gatekeeper,通过覆盖恶意软件保护。

RustyAttr恶意软件的出现提醒我们,网络安全是一个持续的战斗,需要不断的警惕和创新的防御措施。对于macOS用户来说,保持警惕,不随意下载不明来源的软件,以及及时更新系统和应用程序,是防止此类攻击的关键。

资讯来源:thehackernews
转载请注明出处和本文链接


球分享

球点赞

球在看

“阅读原文一起来充电吧!

文章来源: https://mp.weixin.qq.com/s?__biz=MjM5NTc2MDYxMw==&mid=2458582488&idx=3&sn=3baa637974a7a3456df719cbaecf4e7f&chksm=b18dcd5286fa4444445efeaa5593b0d1646b56a48c472b52670147581aa183659ad3aa69a455&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh