Malware su macOS: hacker nordcoreani usano gli attributi dei file per nascondere codice dannoso

Malware su macOS: hacker nordcoreani usano gli attributi dei file per nascondere codice dannoso

Un nuovo malware sfrutta gli attributi estesi dei file di macOS per occultare codice dannoso che non viene rilevato dalle misure di protezione

di pubblicata il , alle 17:51 nel canale Sicurezza
macOS
 

Un nuovo trojan chiamato RustyAttr sta prendendo di mira i sistemi macOS utilizzando una tecnica inedita per nascondere codice dannoso. La scoperta è stata condotta dai ricercatori dell'azienda di cybersicurezza Group-IB, che nella loro analisi hanno individuato alcuni elementi che collegherebbero il trojan al gruppo hacker nord coreano Lazarus.

Il malware sfrutta gli attributi estesi (EA) dei file macOS, dei metadati nascosti associati a file e directory che non sono direttamente visibili attraverso il Finder o il terminale, ma che possono essere estratti utilizzando il comando 'xattr'.

Gli hacker nascondono il codice dannoso in questi metadati e utilizzano documenti PDF come esca per eludere il rilevamento. Le applicazioni malevole sono costruite utilizzando il framework Tauri, che combina un'interfaccia web con funzioni backend in Rust.


Schema di funzionamento di RustyAttr - Fonte: GroupIB

Durante l'esecuzione, l'applicazione carica una pagina web contenente JavaScript che recupera il contenuto dall'attributo esteso denominato "test" ed esegue uno script shell. Per non destare sospetti, alcune varianti mostrano file PDF di copertura o messaggi di errore.

Come accennato in apertura, i ricercatori attribuiscono con una relativa certezza  questi attacchi al gruppo nordcoreano Lazarus, anche se non sono state identificate vittime confermate. La tecnica si è dimostrata efficace nell'eludere il rilevamento, dato che nessuno degli strumenti di sicurezza su VirusTotal ha segnalato i file dannosi.

Di recente anche la società di sicurezza SentinelLabs ha individuato tecniche simili utilizzate da BlueNoroff, un altro attore di minazzia nordcoreano che sfrutta tecniche di phishing a tema criptovalute per indurre le vittime a scaricare app dannose firmate e certificate.

Al momento non è chiaro se le due campagne siano in qualche modo correlate, ma è comune che gruppi di attività separati utilizzino le stesse informazioni su come  compromettere efficacemente sistemi senza lasciare tracce.

I migliori sconti su Amazon oggi
-27%

origimagic C4 Mini PC,con Ryzen 5 3550H Processor(fino a 3,7GHz) Light Gaming PC,16GB RAM,512GB SSD,Supporto Triple Display,USB3.2/Doppia Ethernet/Wi-Fi5/BT 5.0,Mini Desktop per Ufficio Domestico

219.00 160.54 Compra ora
-27%

TCL 55V6C TV 55" 4K UHD Smart LED TV, 4K HDR, Google TV con design senza bordi (Dolby Audio, Motion Clarity, compatibile con Google Assistant e Alexa)

298.99 Compra ora
-30%

XIAOMI TV F 65, 65 pollici (165 cm),4K UHD,Smart TV, Fire TV,Triple Tuner DVB-C/S/S2/T/T2, HDR10,MEMC, Modalità Game Boost 120Hz, Controllo Vocale Alexa, 2GB+32GB, Compatibile con AirPlay

569.00 399.00 Compra ora
0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^