HomeSecurityΧάκερ κρύβουν το RustyAttr trojan σε αρχεία macOS

Χάκερ κρύβουν το RustyAttr trojan σε αρχεία macOS

Οι χάκερ χρησιμοποιούν μια νέα τεχνική που καταχράται εκτεταμένα χαρακτηριστικά αρχείων macOS, για να παραδώσουν ένα νέο trojan που οι ερευνητές ονομάζουν RustyAttr.

Δείτε επίσης: ToxicPanda: Νέο Android banking trojan επιτρέπει δόλιες τραπεζικές συναλλαγές

RustyAttr trojan macOS

Οι χάκερ κρύβουν τον κακόβουλο κώδικα σε προσαρμοσμένα μεταδεδομένα αρχείων και χρησιμοποιούν επίσης έγγραφα PDF decoy για να αποφύγουν τον εντοπισμό.

Η νέα τεχνική είναι παρόμοια με τον τρόπο με τον οποίο το διαφημιστικό λογισμικό Bundlore έκρυψε τα ωφέλιμα φορτία του σε resource forks, για να τα κρύψει στο macOS, πίσω στο 2020. Ανακαλύφθηκε σε μερικά δείγματα κακόβουλου λογισμικού από ερευνητές της εταιρείας κυβερνοασφάλειας Group-IB.

#secnews #google 

Η Google μηνύει την κυβέρνηση των ΗΠΑ για υπερβολή. Η Google έκανε πρόσφατα ένα βήμα που δεν είχαμε δει εδώ και καιρό, αφού μήνυσε το Γραφείο Οικονομικής Προστασίας των Καταναλωτών των ΗΠΑ (CFPB), αμφισβητώντας πρόσφατη εντολή που εκδόθηκε για την επίβλεψη της πτέρυγας πληρωμών της εταιρείας από την κυβέρνηση. Η Google διαθέτει δύο κύριες υπηρεσίες πληρωμών που προσφέρει — το Google Wallet και το Google Pay. Το τελευταίο χρησιμοποιούσε ένα σύστημα peer-to-peer για πληρωμές και σταμάτησε να λειτουργεί στις ΗΠΑ νωρίτερα φέτος.

00:00 Εισαγωγή
00:25 Δύο υπηρεσίες πληρωμών
01:03 Απόρριψη εντολών
01:38 Επίβλεψη των εργασιών 

Μάθετε περισσότερα: https://www.secnews.gr/634151/google-miniei-kivernisi-ipa-ipervoli/

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

#secnews #google

Η Google μηνύει την κυβέρνηση των ΗΠΑ για υπερβολή. Η Google έκανε πρόσφατα ένα βήμα που δεν είχαμε δει εδώ και καιρό, αφού μήνυσε το Γραφείο Οικονομικής Προστασίας των Καταναλωτών των ΗΠΑ (CFPB), αμφισβητώντας πρόσφατη εντολή που εκδόθηκε για την επίβλεψη της πτέρυγας πληρωμών της εταιρείας από την κυβέρνηση. Η Google διαθέτει δύο κύριες υπηρεσίες πληρωμών που προσφέρει — το Google Wallet και το Google Pay. Το τελευταίο χρησιμοποιούσε ένα σύστημα peer-to-peer για πληρωμές και σταμάτησε να λειτουργεί στις ΗΠΑ νωρίτερα φέτος.

00:00 Εισαγωγή
00:25 Δύο υπηρεσίες πληρωμών
01:03 Απόρριψη εντολών
01:38 Επίβλεψη των εργασιών

Μάθετε περισσότερα: https://www.secnews.gr/634151/google-miniei-kivernisi-ipa-ipervoli/

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3LnpKVnRDVHZNN2k4

Η Google μηνύει την κυβέρνηση των ΗΠΑ για υπερβολή

SecNewsTV 45 minutes ago

Με βάση την ανάλυσή τους και επειδή δεν μπόρεσαν να επιβεβαιώσουν κανένα θύμα, οι ερευνητές αποδίδουν τα δείγματα του RustyAttr trojan στον Βορειοκορεάτη ομάδα hacking Lazarus. Πιστεύουν ότι ο εισβολέας μπορεί να πειραματίζεται με μια νέα λύση παράδοσης κακόβουλου λογισμικού.

Η μέθοδος είναι ασυνήθιστη και αποδείχθηκε αποτελεσματική έναντι του εντοπισμού, καθώς κανένας από τους πράκτορες ασφαλείας στην πλατφόρμα Virus Total δεν επισήμανε τα κακόβουλα αρχεία.

Τα εκτεταμένα χαρακτηριστικά του macOS (EAs) αντιπροσωπεύουν κρυφά μεταδεδομένα που σχετίζονται συνήθως με αρχεία και καταλόγους, τα οποία δεν είναι άμεσα ορατά με το Finder ή το τερματικό, αλλά μπορούν να εξαχθούν χρησιμοποιώντας την εντολή ‘xattr‘ για εμφάνιση, επεξεργασία ή κατάργηση εκτεταμένων χαρακτηριστικών.

Στην περίπτωση των επιθέσεων RustyAttr trojan, το όνομα EA είναι “test” και περιέχει ένα shell script.

Δείτε ακόμα: Grandoreiro: Νέες επικίνδυνες εκδόσεις του banking trojan

Οι κακόβουλες εφαρμογές που αποθηκεύουν το EA κατασκευάζονται χρησιμοποιώντας το πλαίσιο Tauri, το οποίο συνδυάζει μια διεπαφή ιστού (HTML, JavaScript) που μπορεί να καλέσει συναρτήσεις σε ένα σύστημα υποστήριξης Rust.

Όταν εκτελείται η εφαρμογή, φορτώνει μια ιστοσελίδα που περιέχει ένα JavaScript («preload.js») που λαμβάνει το περιεχόμενο από τη θέση που υποδεικνύεται στο «test» EA και το στέλνει στη συνάρτηση «run_command» για να εκτελεστεί το shell script.

Για να διατηρηθεί χαμηλή η υποψία του χρήστη κατά τη διάρκεια αυτής της διαδικασίας, ορισμένα δείγματα εκκινούν αρχεία PDF decoy ή εμφανίζουν παράθυρα διαλόγου σφαλμάτων.

Το PDF λαμβάνεται από μια παρουσία του pCloud για δημόσια κοινή χρήση αρχείων που περιέχει επίσης καταχωρήσεις με ονόματα που σχετίζονται με θέματα επενδύσεων σε κρυπτονομίσματα, τα οποία ευθυγραμμίζονται με τους στόχους της ομάδας Lazarus.

Τα λίγα δείγματα των εφαρμογών RustyAttr trojan, βρήκαν όλες τις δοκιμές ανίχνευσης με επιτυχία στο Virus Total και οι εφαρμογές υπογράφηκαν χρησιμοποιώντας ένα πιστοποιητικό που διέρρευσε, το οποίο η Apple έκτοτε έχει ανακαλέσει.

Το Group-IB δεν μπόρεσε να ανακτήσει και να αναλύσει το κακόβουλο λογισμικό επόμενου σταδίου, αλλά ανακάλυψε ότι ο διακομιστής σταδίου συνδέεται με ένα γνωστό τελικό σημείο στην υποδομή Lazarus.

Δείτε επίσης: ErrorFather: Καμπάνια διανέμει παραλλαγή του banking Trojan Cerberus

Το Trojan, όπως το νέο RustyAttr, είναι ένας τύπος κακόβουλου λογισμικού που έχει σχεδιαστεί για να εξαπατά τους χρήστες εμφανιζόμενο ως νόμιμο πρόγραμμα. Μόλις εγκατασταθούν, τα Trojans μπορούν να προκαλέσουν όλεθρο στους υπολογιστές κλέβοντας δεδομένα, εγκαθιστώντας πρόσθετο κακόβουλο λογισμικό ή δημιουργώντας ένα backdoor για μη εξουσιοδοτημένη πρόσβαση. Σε αντίθεση με τους ιούς, τα Trojans δεν αυτο-αντιγράφονται, αλλά μπορεί να είναι εξίσου καταστροφικά και συχνά χρησιμεύουν ως πύλες για άλλους τύπους κακόβουλου λογισμικού. Για την προστασία από Trojans, οι χρήστες θα πρέπει να κάνουν λήψη λογισμικού μόνο από αξιόπιστες πηγές, να διατηρούν τα συστήματά τους ενημερωμένα και να χρησιμοποιούν ισχυρές λύσεις προστασίας από ιούς.

Πηγή: bleepingcomputer

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS