Malware Mac RustyAttr

I ricercatori hanno scoperto che gli autori delle minacce stanno ora utilizzando un metodo innovativo che sfrutta gli attributi estesi nei file macOS per nascondere una nuova minaccia nota come RustyAttr.

Questa nuova campagna è stata ragionevolmente collegata al noto Lazarus Group , associato alla Corea del Nord. L'attribuzione si basa sulle somiglianze osservate nell'infrastruttura e nelle tattiche relative alle campagne precedenti, tra cui RustBucket.

Gli attributi estesi si riferiscono a metadati supplementari collegati a file e directory, a cui è possibile accedere tramite un comando noto come xattr. Questi attributi sono in genere utilizzati per archiviare informazioni oltre i dettagli standard come dimensioni del file, timestamp e permessi.

Le applicazioni minacciose condividono più connessioni

I ricercatori hanno scoperto applicazioni minacciose create con Tauri, un framework multipiattaforma per applicazioni desktop, e firmate utilizzando un certificato trapelato che Apple ha poi revocato. Queste applicazioni includono un attributo esteso progettato per recuperare ed eseguire uno script shell.

Quando lo script shell viene eseguito, attiva anche un'esca destinata a distogliere l'attenzione. Questa esca potrebbe presentare un messaggio di errore che afferma "Questa app non supporta questa versione" o visualizzare un innocuo PDF relativo allo sviluppo e al finanziamento di progetti di gioco.

Come procede l'attacco RustyAttr

Quando l'applicazione viene avviata, il framework Tauri tenta di visualizzare una pagina Web HTML utilizzando una WebView, mentre l'autore della minaccia seleziona un modello casuale proveniente da Internet.

Ciò che è particolarmente degno di nota è che queste pagine web sono progettate per caricare JavaScript non sicuro, che estrae il contenuto degli attributi estesi e lo esegue tramite un backend Rust. Tuttavia, la pagina web falsa viene mostrata solo se non sono presenti attributi estesi.

L'obiettivo finale della campagna resta incerto, soprattutto perché non ci sono prove di carichi aggiuntivi o vittime confermate.

Fortunatamente, i sistemi macOS offrono una certa protezione contro i campioni scoperti. Per avviare l'attacco, gli utenti dovrebbero disattivare Gatekeeper bypassando le protezioni anti-malware integrate. Probabilmente sarà necessario un certo livello di interazione dell'utente e di ingegneria sociale per convincere le vittime a compiere queste azioni.