黑客使用 macOS 扩展文件属性隐藏恶意代码

文章预览

随着网络攻击手段的不断升级，恶意软件也在不断地进化。最近，一种名为RustyAttr的新恶意软件针对macOS用户，通过滥用文件的扩展属性进行传播，引起了广泛关注。 新加坡网络安全公司Group-IB发现，名为RustyAttr的新恶意软件利用macOS文件的扩展属性来隐藏其恶意行为。扩展属性是与文件和目录关联的额外元数据，可以通过xattr命令提取。这些属性通常用于存储超出标准属性（如文件大小、时间戳和权限）的信息。 该恶意软件被认为是与朝鲜有关的Lazarus Group所为，该组织以其基础设施和战术重叠而闻名。RustyAttr通过滥用文件的扩展属性来加载和执行恶意脚本。 Group-IB发现的恶意应用程序使用Tauri框架构建，这是一个跨平台的桌面应用程序框架，并且使用泄露的证书签名，该证书后来已被苹果撤销。这些应用程序包含一个配置为获取和运行shell脚本的 ………………………………