Malware su macOS: hacker nordcoreani usano gli attributi dei file per nascondere codice dannoso

Malware su macOS: hacker nordcoreani usano gli attributi dei file per nascondere codice dannoso

Un nuovo malware sfrutta gli attributi estesi dei file di macOS per occultare codice dannoso che non viene rilevato dalle misure di protezione

di pubblicata il , alle 17:51 nel canale Sicurezza
macOS
 

Un nuovo trojan chiamato RustyAttr sta prendendo di mira i sistemi macOS utilizzando una tecnica inedita per nascondere codice dannoso. La scoperta è stata condotta dai ricercatori dell'azienda di cybersicurezza Group-IB, che nella loro analisi hanno individuato alcuni elementi che collegherebbero il trojan al gruppo hacker nord coreano Lazarus.

Il malware sfrutta gli attributi estesi (EA) dei file macOS, dei metadati nascosti associati a file e directory che non sono direttamente visibili attraverso il Finder o il terminale, ma che possono essere estratti utilizzando il comando 'xattr'.

Gli hacker nascondono il codice dannoso in questi metadati e utilizzano documenti PDF come esca per eludere il rilevamento. Le applicazioni malevole sono costruite utilizzando il framework Tauri, che combina un'interfaccia web con funzioni backend in Rust.


Schema di funzionamento di RustyAttr - Fonte: GroupIB

Durante l'esecuzione, l'applicazione carica una pagina web contenente JavaScript che recupera il contenuto dall'attributo esteso denominato "test" ed esegue uno script shell. Per non destare sospetti, alcune varianti mostrano file PDF di copertura o messaggi di errore.

Come accennato in apertura, i ricercatori attribuiscono con una relativa certezza  questi attacchi al gruppo nordcoreano Lazarus, anche se non sono state identificate vittime confermate. La tecnica si è dimostrata efficace nell'eludere il rilevamento, dato che nessuno degli strumenti di sicurezza su VirusTotal ha segnalato i file dannosi.

Di recente anche la società di sicurezza SentinelLabs ha individuato tecniche simili utilizzate da BlueNoroff, un altro attore di minazzia nordcoreano che sfrutta tecniche di phishing a tema criptovalute per indurre le vittime a scaricare app dannose firmate e certificate.

Al momento non è chiaro se le due campagne siano in qualche modo correlate, ma è comune che gruppi di attività separati utilizzino le stesse informazioni su come  compromettere efficacemente sistemi senza lasciare tracce.

I migliori sconti su Amazon oggi
-42%

Cecotec Friggitrice ad Aria Senza Olio Cecofry Fantastik 5500 da 5,5 L. 1500W, Tecnologia PerfectCook, 9 modalità di cottura, Touch, Regolabile 80-200°C, Cottura fino a 60 minuti

76.90 44.90 Compra ora
-21%

Apple iPhone 16 128 GB: Telefono 5G con Controllo fotocamera, chip A18 e tanta autonomia in più. Compatibile con AirPods; bianco

979.00 769.00 Compra ora
-21%

CMF Phone 1 8+128GB - Smartphone con fotocamera posteriore Sony da 50 MP con Ultra XDR, Display Super AMOLED da 6,67 pollici e Nothing OS 2.6, Nero, Non supporta eSIM

239.00 189.00 Compra ora
0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^