黑客利用 macOS 扩展文件属性隐藏恶意代码

主要观点总结

文章介绍了黑客利用 macOS 文件的扩展属性来隐藏恶意代码，传播木马病毒 RustyAttr 的情况。该木马病毒通过诱饵 PDF 文档传播，逃避检测，并可能与朝鲜黑客拉扎勒斯有关。文章还提到了类似但不同的规避技术 BlueNoroff。

关键观点总结

关键观点1: 黑客利用 macOS 文件扩展属性传播木马病毒 RustyAttr。

RustyAttr 木马病毒将恶意代码隐藏在自定义文件元数据中，使用诱饵 PDF 文档逃避检测。该技术与 2020 年 Bundlore 广告软件类似，安全研究人员发现了野外恶意软件样本。

关键观点2: RustyAttr 可能与朝鲜黑客拉扎勒斯有关。

研究人员推测攻击者可能正在尝试一种新的恶意软件传递解决方案，但目前尚未确认受害者。这种攻击方法并不常见，但已被证明可以有效地防止检测。

关键观点3: RustyAttr 应用程序使用 Tauri 框架构建，包含 JavaScript 的网页可以执行 shell 脚本。

该应用程序在运行时，会从名为“test”的扩展属性中获取内容并执行 shell 脚本。为降低用户怀疑，某些示例会启动诱饵 PDF 文件或显示错误对话框。

关键观点4: 存在类似但不同的规避技术 BlueNoroff。

BlueNoroff 使用以加密货币为主题的网络钓鱼来引诱目标下载恶意应用程序，并使用修改后的“Info.plist”文件来秘密触发与攻击者控制的域的恶意连接。目前尚不清楚这些活动是否相关。