黑客利用 macOS 扩展文件属性隐藏恶意代码

黑客被发现正滥用 macOS 文件的扩展属性来传播一种新的木马，研究人员将其称为 RustyAttr。

威胁分子将恶意代码隐藏在自定义文件元数据中，并使用诱饵 PDF 文档来帮助逃避检测。这项新技术类似于 2020 年 Bundlore 广告软件将其有效负载隐藏在资源分支中以隐藏 macOS 有效负载的方式。安全研究人员在一些野外恶意软件样本中发现了它。

根据他们的分析，由于无法确认任何受害者，研究人员有一定把握将这些样本归因于朝鲜黑客拉扎勒斯。他们认为攻击者可能正在尝试一种新的恶意软件传递解决方案。

这种方法并不常见，现在已被证明可以有效地防止检测，因为 Virus Total 平台上的安全代理都没有标记恶意文件。

在文件属性中隐藏代码

macOS 扩展属性 (EA) 表示通常与文件和目录关联的隐藏元数据，这些元数据在 Finder 或终端中不直接可见，但可以使用“xattr”命令提取以显示、编辑或删除扩展属性。在 RustyAttr 攻击的情况下，EA 名称为“test”并包含 shell 脚本。

macOS 扩展属性内的 Shell 脚本

存储 EA 的恶意应用程序是使用 Tauri 框架构建的，该框架结合了可以调用 Rust 后端函数的 Web 前端（HTML、JavaScript）。当应用程序运行时，它会加载一个包含 JavaScript（“preload.js”）的网页，该网页从“测试”EA 中指示的位置获取内容，并将其发送到“run_command”函数以执行 shell 脚本。

preload.js 的内容

为了在此过程中降低用户怀疑，某些示例会启动诱饵 PDF 文件或显示错误对话框。

诱饵 PDF 隐藏恶意后台活动

该 PDF 是从用于公共文件共享的 pCloud 实例获取的，其中还包含名称与加密货币投资主题相关的条目，这与 Lazarus 的目的和目标一致。

RustyAttr 应用程序 Group-IB 的少数样本发现，所有应用程序都通过了 Virus Total 的检测测试，并且应用程序是使用泄露的证书进行签名的，苹果已撤销该证书，但未经过公证。

应用证书详细信息

Group-IB 无法检索和分析下一阶段的恶意软件，但发现临时服务器连接到 Lazarus 基础设施中的已知端点以尝试获取它。

执行流程

尝试 macOS 规避

Group-IB 报告的案例与 SentinelLabs 最近的另一份报告非常相似，该报告观察到朝鲜黑客 BlueNoroff 在 macOS 中尝试了类似但不同的规避技术。

BlueNoroff 使用以加密货币为主题的网络钓鱼来引诱目标下载经过签名和公证的恶意应用程序。

这些应用程序使用修改后的“Info.plist”文件来秘密触发与攻击者控制的域的恶意连接，从该域检索第二阶段有效负载。

目前尚不清楚这些活动是否相关，但不同的活动集群通常会使用相同的信息来了解如何有效地破坏 macOS 系统而不触发警报。

参考及来源：https://www.bleepingcomputer.com/news/security/hackers-use-macos-extended-file-attributes-to-hide-malicious-code/