ગ્રુપ-આઈબીના સુરક્ષા સંશોધકોએ માલવેરનો અનોખો નવો ભાગ શોધ્યોતે પેલોડને જમાવવા માટે macOS ફાઇલો માટે વિસ્તૃત વિશેષતાઓનો દુરુપયોગ કરે છે. માલવેર ઉત્તર કોરિયાના રાજ્ય-પ્રાયોજિત કલાકારો દ્વારા બનાવવામાં આવ્યું હોય તેવી શક્યતા છે.
સાયબર સિક્યુરિટી સંશોધકોએ કુખ્યાત ઉત્તર કોરિયન લાઝારસ જૂથ દ્વારા બનાવવામાં આવેલ મેકઓએસ માટેના અન્ય માલવેર વેરિઅન્ટ પર ઠોકર મારી છે.
ગ્રુપ-આઈબીનો અહેવાલ RustyAttrની શોધની ચિંતા કરે છે, Tauri ફ્રેમવર્કનો ઉપયોગ કરીને બનાવવામાં આવેલ macOS માલવેરનો તદ્દન નવો ભાગ. ટી
તે મૉલવેરને VirusTotal પર ફ્લેગ કરવામાં આવ્યું ન હતું અને, એક સમયે, કાયદેસર Apple ડેવલપર ID નો ઉપયોગ કરીને હસ્તાક્ષર કરવામાં આવ્યા હતા. ત્યારપછી આઈડી રદ્દ કરવામાં આવ્યું છે.
વિસ્તૃત વિશેષતાઓ
તેમના દિવસો પહેલા, Jamf ના સંશોધકોએ કંઈક એવું જ શોધી કાઢ્યું – VirusTotal પર દેખીતી સૌમ્ય એપ્લિકેશન, ફ્લટર સાથે બનેલી, અને macOS પીડિતો માટે બેકડોર તરીકે સેવા આપે છે.
બંને કિસ્સાઓમાં, માલવેર નવલકથા અવ્યવસ્થિત પદ્ધતિઓનો ઉપયોગ કરે છે, પરંતુ તે સંપૂર્ણ રીતે કાર્યરત નહોતું, જેના કારણે સંશોધકો માને છે કે તે માત્ર પ્રયોગો હતા, કારણ કે બદમાશો ચેપને છુપાવવા માટે નવી રીતો શોધે છે.
RustyAttr macOS માટે વિસ્તૃત વિશેષતાઓનો દુરુપયોગ કરતી જોવા મળી હતી, સંશોધકો દાવો કરે છે.
વિસ્તૃત વિશેષતાઓ (xattrs) એ એક વિશેષતા છે જે ફાઇલો અને ડિરેક્ટરીઓને નામ, કદ અને પરવાનગીઓ જેવી માનક વિશેષતાઓ ઉપરાંત વધારાના મેટાડેટાને સંગ્રહિત કરવાની મંજૂરી આપે છે. તેનો ઉપયોગ સુરક્ષા-સંબંધિત માહિતીને સંગ્રહિત કરવા, ચોક્કસ મેટાડેટા સાથે ફાઇલોને ટેગ કરવા અને અન્ય ફાઇલ સિસ્ટમ્સ સાથે સુસંગતતા સક્ષમ કરવા માટે વિવિધ વસ્તુઓ માટે થાય છે. આ કિસ્સામાં, EA નામ “પરીક્ષણ” હતું, અને તે શેલ સ્ક્રિપ્ટ ધરાવે છે.
જ્યારે માલવેર ચાલે છે, ત્યારે તે JavaScriptના ટુકડા સાથે વેબસાઇટ લોડ કરે છે. આ JavaScript – preload.js કહેવાય છે, “પરીક્ષણ” માંથી સામગ્રી ખેંચે છે જે સ્થાન હોવાનું જણાય છે. આ સ્થાન પછી ‘run_command’ ફંક્શન પર મોકલવામાં આવે છે, જ્યાં શેલ સ્ક્રિપ્ટ તેને એક્ઝિક્યુટ કરે છે.
જ્યારે પ્રક્રિયા ચાલુ હોય છે, ત્યારે પીડિતને ડીકોય પીડીએફ ફાઇલ અથવા નકલી ભૂલ સંદેશ સાથે છેતરવામાં આવે છે જે ફોરગ્રાઉન્ડમાં પૉપ અપ થાય છે.
સંશોધકોએ જણાવ્યું હતું કે, RustyAttr મોટાભાગે લાઝારસ દ્વારા બનાવવામાં આવ્યું હતું, જો કે ત્યાં કોઈ પીડિત નોંધાયેલા નથી, તેથી તેઓ ચોક્કસ કહી શકતા નથી. જો કે, તેઓને વિશ્વાસ છે કે મૉલવેર macOS ઉપકરણો પર નવી ડિલિવરી અને અસ્પષ્ટતા પદ્ધતિઓનું પરીક્ષણ કરવા માટે બનાવવામાં આવ્યું હતું.
વાયા બ્લીપિંગ કોમ્પ્યુટર
