据Group-IB的网络安全研究人员称,黑客设计了一种新技术,通过利用扩展文件属性在macOS上传播恶意代码。这种被称为RustyAttr的恶意代码隐藏在自定义文件元数据中,并使用诱饵PDF文档来避免检测。这种方法类似于Bundlore广告软件在2020年使用资源分叉进行有效载荷隐藏的技术。
研究人员以中等置信度将这些恶意软件样本归因于朝鲜的威胁行为者Lazarus,推测这可能是新恶意软件交付技术的实验。该方法已被证明能够有效防止检测,在Virus Total上没有安全代理标记这些恶意文件。使用此方法的恶意应用程序是使用Tauri框架构建的,结合了Web前端和Rust后端来执行存储在扩展属性中的隐藏shell脚本。
这种隐藏技术利用了存储隐藏元数据的macOS扩展属性(EA),这些元数据通常无法通过标准文件导航工具看到,但可以使用’xattr’命令访问。RustyAttr攻击专门使用一个名为“test”的EA来隐藏shell脚本,该脚本在恶意应用程序运行时执行,从而通过启动诱饵PDF来传递有效负载,同时最大限度地减少用户的怀疑。