RustyAttr Mac マルウェア

研究者らは、脅威の攻撃者が現在、macOS ファイルの拡張属性を利用して RustyAttr と呼ばれる新たな脅威を隠す革新的な手法を採用していることを特定しました。

この新しいキャンペーンは、北朝鮮と関係のある有名なLazarus Groupと合理的に関連付けられています。この帰属は、RustBucket を含む以前のキャンペーンに関連するインフラストラクチャと戦術の類似性に基づいています。

拡張属性とは、ファイルやディレクトリにリンクされた補足メタデータのことで、xattr というコマンドを使用してアクセスできます。これらの属性は通常、ファイル サイズ、タイムスタンプ、権限などの標準的な詳細以外の情報を保存するために使用されます。

脅威となるアプリケーションは複数の接続を共有している

研究者らは、デスクトップ アプリケーション用のクロスプラットフォーム フレームワークである Tauri で作成され、Apple がその後失効させた漏洩した証明書を使用して署名された、脅威となるアプリケーションを発見しました。これらのアプリケーションには、シェル スクリプトを取得して実行するように設計された拡張属性が含まれています。

シェル スクリプトが実行されると、注意をそらすためのおとりも起動します。このおとりは、「このアプリはこのバージョンをサポートしていません」というエラー メッセージを表示したり、ゲーム プロジェクトの開発と資金調達に関連する無害な PDF を表示したりします。

RustyAttr 攻撃の進行方法

アプリケーションが起動されると、Tauri フレームワークは WebView を使用して HTML Web ページを表示しようとしますが、脅威の攻撃者はインターネットから取得したランダムなテンプレートを選択します。

特に注目すべきは、これらの Web ページが安全でない JavaScript を読み込むように設計されており、拡張属性の内容を抽出して Rust バックエンドで実行することです。ただし、偽の Web ページは拡張属性が存在しない場合にのみ表示されます。

この攻撃の最終的な目的は、特に追加のペイロードや確認された被害者の証拠がないため、依然として不明である。

幸いなことに、macOS システムには、発見されたサンプルに対する保護機能がいくつか用意されています。攻撃を開始するには、ユーザーは組み込みのマルウェア対策を回避して Gatekeeper を無効にする必要があります。被害者にこれらの行動を取らせるには、ある程度のユーザー インタラクションとソーシャル エンジニアリングが必要になるでしょう。