瞄准macOS的恶意软件

新加坡网络安全公司Group-IB发现了一个名为RustyAttr的新Mac恶意软件，利用macOS文件的扩展属性来隐藏其攻击行为。该软件被认为是朝鲜关联的Lazarus集团所为，因为观察到与以往活动有基础设施和战术上的重叠。RustyAttr使用Tauri跨平台桌面应用框架构建，并用泄露的证书签名，该证书已被苹果撤销。它包含一个配置为获取并运行shell脚本的扩展属性。执行shell脚本时，还会触发一个诱饵，显示错误消息或看似无害的PDF文档以分散注意力。这些网页被设计为加载恶意JavaScript，该JavaScript获取扩展属性的内容并通过Rust后端执行。目前，该活动的目的尚不明确，因为没有证据显示有进一步的有效载荷或确认的受害者。幸运的是，macOS系统为这些样本提供了一定程度的保护，用户必须禁用Gatekeeper以绕过恶意软件保护，这可能需要一定程度的交互和社会工程学来说服受害者采取这些步骤.