Programari maliciós RustyAttr Mac
Els investigadors han identificat que els actors de les amenaces ara utilitzen un mètode innovador que aprofita els atributs ampliats dels fitxers de macOS per ocultar una nova amenaça coneguda com RustyAttr.
Aquesta nova campanya ha estat raonablement lligada al conegut Grup Lazarus , associat a Corea del Nord. L'atribució es basa en les similituds observades en la infraestructura i les tàctiques relacionades amb campanyes anteriors, inclosa RustBucket.
Els atributs ampliats fan referència a metadades addicionals vinculades a fitxers i directoris, als quals es pot accedir mitjançant una ordre coneguda com a xattr. Aquests atributs s'utilitzen normalment per emmagatzemar informació més enllà de detalls estàndard, com ara la mida del fitxer, les marques de temps i els permisos.
Les aplicacions amenaçadores comparteixen diverses connexions
Els investigadors han descobert aplicacions amenaçadores creades amb Tauri, un marc multiplataforma per a aplicacions d'escriptori, i han signat amb un certificat filtrat que Apple ha revocat des de llavors. Aquestes aplicacions inclouen un atribut estès dissenyat per recuperar i executar un script de shell.
Quan s'executa l'script de l'intèrpret d'ordres, també activa un engany destinat a desviar l'atenció. Aquest engany pot presentar un missatge d'error que digui "Aquesta aplicació no és compatible amb aquesta versió" o mostrar un PDF innòcu relacionat amb el desenvolupament i el finançament de projectes de jocs.
Com continua l'atac RustyAttr
Quan s'inicia l'aplicació, el marc de Tauri intenta mostrar una pàgina web HTML mitjançant una WebView, amb l'actor de l'amenaça seleccionant una plantilla aleatòria procedent d'Internet.
El que cal destacar especialment és que aquestes pàgines web estan dissenyades per carregar JavaScript no segur, que extreu el contingut dels atributs ampliats i l'executa mitjançant un backend de Rust. Tanmateix, la pàgina web falsa només es mostra si no hi ha atributs ampliats.
L'objectiu final de la campanya segueix sent incert, sobretot perquè no hi ha proves de càrregues addicionals o víctimes confirmades.
Afortunadament, els sistemes macOS ofereixen certa protecció contra les mostres descobertes. Per iniciar l'atac, els usuaris haurien de desactivar Gatekeeper evitant les garanties de programari maliciós integrades. Probablement caldrà un cert nivell d'interacció dels usuaris i enginyeria social per persuadir les víctimes perquè prenguin aquestes accions.
