Gli esperti di Group-IB hanno scoperto che i cybercriminali sfruttano una nuova tecnica per nascondere la presenza di codice infetto. Per distribuire il malware RustyAttr sono stati utilizzati gli attributi estesi dei file macOS. Il trucco è stato usato dal famigerato gruppo nordcoreano Lazarus, ma non è noto se ci siano vittime degli attacchi informatici.
Script nei metadati dei file macOS
Gli attributi estesi sono metadati associati a file e directory. Non sono visibili nel Finder, ma possono essere visualizzati, modificati e rimossi con il comando xattr. Nel caso scoperto da GroupIB, l’attributo è test e nasconde uno script di shell.
Un’applicazione scritta con il framework Tauri legge l’attributo esteso ed esegue lo script. Sullo schermo viene mostrato un documento PDF (prelevato dal servizio pCloud) o un messaggio di errore per ingannare l’utente. Nel frattempo, in background, viene caricata una pagina web che contiene un JavaScript che scarica RustyAttr sul Mac.
L’applicazione è stata firmata con un certificato rubato (successivamente revocato da Apple), quindi i cybercriminali hanno evitato il controllo delle soluzioni di sicurezza. La funzionalità Gatekeeper di macOS mostra un avviso, ma può essere scartato dall’utente. I ricercatori non hanno potuto verificare se ci sono state vittime prima della revoca del certificato.
Non è noto lo stadio successivo del malware. Group-IB ha comunque scoperto che il server appartiene all’infrastruttura di Lazarus. Gli utenti devono prestare attenzione alla fonte dei file e non disattivare la funzionalità Gatekeeper.
Ti potrebbe interessare
18 nov 2024