黑客利用 macOS 扩展文件属性隐藏恶意代码

admin 2024年12月4日22:03:51评论19 views字数 1314阅读4分22秒阅读模式

黑客利用 macOS 扩展文件属性隐藏恶意代码

黑客被发现正滥用 macOS 文件的扩展属性来传播一种新的木马,研究人员将其称为 RustyAttr。

威胁分子将恶意代码隐藏在自定义文件元数据中,并使用诱饵 PDF 文档来帮助逃避检测。这项新技术类似于 2020 年 Bundlore 广告软件将其有效负载隐藏在资源分支中以隐藏 macOS 有效负载的方式。安全研究人员在一些野外恶意软件样本中发现了它。

根据他们的分析,由于无法确认任何受害者,研究人员有一定把握将这些样本归因于朝鲜黑客拉扎勒斯。他们认为攻击者可能正在尝试一种新的恶意软件传递解决方案。

这种方法并不常见,现在已被证明可以有效地防止检测,因为 Virus Total 平台上的安全代理都没有标记恶意文件。

黑客利用 macOS 扩展文件属性隐藏恶意代码
在文件属性中隐藏代码

macOS 扩展属性 (EA) 表示通常与文件和目录关联的隐藏元数据,这些元数据在 Finder 或终端中不直接可见,但可以使用“xattr”命令提取以显示、编辑或删除扩展属性。在 RustyAttr 攻击的情况下,EA 名称为“test”并包含 shell 脚本。

黑客利用 macOS 扩展文件属性隐藏恶意代码

macOS 扩展属性内的 Shell 脚本

存储 EA 的恶意应用程序是使用 Tauri 框架构建的,该框架结合了可以调用 Rust 后端函数的 Web 前端(HTML、JavaScript)。当应用程序运行时,它会加载一个包含 JavaScript(“preload.js”)的网页,该网页从“测试”EA 中指示的位置获取内容,并将其发送到“run_command”函数以执行 shell 脚本。

黑客利用 macOS 扩展文件属性隐藏恶意代码

preload.js 的内容

为了在此过程中降低用户怀疑,某些示例会启动诱饵 PDF 文件或显示错误对话框。

黑客利用 macOS 扩展文件属性隐藏恶意代码

诱饵 PDF 隐藏恶意后台活动

该 PDF 是从用于公共文件共享的 pCloud 实例获取的,其中还包含名称与加密货币投资主题相关的条目,这与 Lazarus 的目的和目标一致。

RustyAttr 应用程序 Group-IB 的少数样本发现,所有应用程序都通过了 Virus Total 的检测测试,并且应用程序是使用泄露的证书进行签名的,苹果已撤销该证书,但未经过公证。

黑客利用 macOS 扩展文件属性隐藏恶意代码

应用证书详细信息

Group-IB 无法检索和分析下一阶段的恶意软件,但发现临时服务器连接到 Lazarus 基础设施中的已知端点以尝试获取它。

黑客利用 macOS 扩展文件属性隐藏恶意代码

执行流程

黑客利用 macOS 扩展文件属性隐藏恶意代码
尝试 macOS 规避

Group-IB 报告的案例与 SentinelLabs 最近的另一份报告非常相似,该报告观察到朝鲜黑客 BlueNoroff 在 macOS 中尝试了类似但不同的规避技术。

BlueNoroff 使用以加密货币为主题的网络钓鱼来引诱目标下载经过签名和公证的恶意应用程序。

这些应用程序使用修改后的“Info.plist”文件来秘密触发与攻击者控制的域的恶意连接,从该域检索第二阶段有效负载。

目前尚不清楚这些活动是否相关,但不同的活动集群通常会使用相同的信息来了解如何有效地破坏 macOS 系统而不触发警报。

参考及来源:https://www.bleepingcomputer.com/news/security/hackers-use-macos-extended-file-attributes-to-hide-malicious-code/

黑客利用 macOS 扩展文件属性隐藏恶意代码

黑客利用 macOS 扩展文件属性隐藏恶意代码

原文始发于微信公众号(嘶吼专业版):黑客利用 macOS 扩展文件属性隐藏恶意代码

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年12月4日22:03:51
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   黑客利用 macOS 扩展文件属性隐藏恶意代码https://cn-sec.com/archives/3466987.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息