Lazarus пробует протащить трояна в macOS с помощью скрытых метаданных

Татьяна Никитина 14 Ноября 2024 - 19:30

...

Исследователи из Group-IB нашли в интернете несколько образцов неизвестного ранее трояна, внедряемого в macOS необычным способом. Для скрытной доставки зловреда, нареченного RustyAttr, используются расширенные атрибуты файлов (EA).

Эти дополнительные метаданные напрямую не отыщешь в приложении «Терминал» или файловом менеджере Finder. Для их просмотра, редактирования и удаления обычно используется команда xattr.

Обнаруженная экспертами вредоносная программа создана с использованием фреймворка Tauri и подписана слитым сертификатом разработчика (Apple его уже отозвала). При запуске она загружает в WebView страницу с JavaScript, который извлекает шелл-код, спрятанный в EA с именем «test», и запускает его на исполнение.

Для отвода глаз жертве отображается стянутый с файлообменника документ PDF или поддельное диалоговое окно с сообщением об ошибке.

По словам экспертов, принятые меры против обнаружения оправдали себя: на момент проведения анализа RustyAttr не смог задетектировать ни один антивирус из коллекции VirusTotal.

Конечная цель таких атак неясна, так как сведений о жертвах нет. Зафиксирована попытка загрузки дополнительного пейлоада с хоста, ассоциированного с ИТ-инфраструктурой Lazarus, однако целевой сервер оказался вне доступа.

Защиту от подобных зловредов способен обеспечить Gatekeeper. Чтобы обойти это препятствие, автору атаки придется взаимодействовать с пользователем macOS и, применив социальную инженерию, заставить его отключить верного охранника.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 21 Мая 2025 - 09:56

Android Домашние пользователи Системы аутентификации Биометрические системы аутентификации

В Android 16 появилась кнопка для проверки сохранённых отпечатков пальцев

Google выпустила первую бета-версию Android 16 QPR1, но не всё интересное попало в официальные анонсы. Например, среди скрытых новинок нашлась функция для проверки, какие отпечатки пальцев вы уже добавили на устройство.

В настройках разблокировки по отпечатку появилась новая кнопка: «Проверить зарегистрированные отпечатки».

Нажимаешь — открывается чёрный экран с иконкой отпечатка и надписью «Приложите палец». Приложил — и тебе сразу показывают, какой из сохранённых отпечатков сработал.

Зачем это вообще нужно?

Если при добавлении отпечатков им не присваивались имена, со временем легко запутаться — особенно если добавлены и палец правой руки, и левой, и ещё кого-то из близких. А теперь можно просто приложить нужный палец — и система покажет, какой это отпечаток. Дальше можно переименовать, удалить лишний и т. д. — не нужно больше стирать всё и добавлять заново.

Что ещё нового в Android 16 QPR1 Beta 1

Экран настроек отпечатков теперь в стиле Material 3 Expressive — стало аккуратнее.
На экране блокировки появился Magic Portrait — можно настраивать обои под себя.
Обновлён экран недавних приложений — меню стало удобнее.
Добавили ползунок для регулировки размера часов на экране блокировки.

Да, это всё пока только бета — но уже выглядит как приятное обновление. Особенно для тех, кто любит порядок даже в биометрии.