Se ha descubierto que los actores de amenazas están utilizando una técnica novedosa que explota los atributos extendidos de los archivos de macOS para infiltrar un malware llamado RustyAttr.
Una firma de ciberseguridad en Singapur ha atribuido esta actividad con alta probabilidad al grupo Lazarus, vinculado a Corea del Norte, debido a la coincidencia de infraestructura y tácticas observadas en campañas previas, como RustBucket.
Los atributos extendidos son metadatos adicionales asociados a archivos y directorios, que pueden ser extraídos con el comando xattr. Estos atributos se emplean generalmente para almacenar información más allá de los atributos estándar, como el tamaño del archivo, las marcas de tiempo y los permisos.
Las aplicaciones maliciosas descubiertas por Group-IB fueron creadas con Tauri, un marco multiplataforma para aplicaciones de escritorio, y están firmadas con un certificado comprometido que Apple revocó. Estas aplicaciones contienen un atributo extendido que permite obtener y ejecutar un script de shell.
La ejecución del script activa un señuelo, mostrando un mensaje de error que dice “Esta aplicación no es compatible con esta versión” o un documento PDF aparentemente inofensivo relacionado con el desarrollo de proyectos de juegos.
“Cuando se ejecuta la aplicación, Tauri intenta mostrar una página web HTML mediante un WebView”, comentó Sharmine Low, investigadora de Group-IB. “El [agente de amenazas] utilizó una plantilla aleatoria obtenida de Internet”.
Además, estas páginas están diseñadas para cargar código JavaScript malicioso, que luego extrae y ejecuta el contenido de los atributos extendidos a través de un backend en Rust. La página falsa solo se muestra cuando no hay atributos extendidos presentes.
El objetivo final de esta campaña sigue siendo incierto, especialmente dado que no se han encontrado más cargas útiles ni víctimas confirmadas.
“Afortunadamente, los sistemas macOS proporcionan cierto nivel de protección frente a las muestras encontradas”, señaló Low. “Para desencadenar el ataque, los usuarios deben desactivar Gatekeeper, lo que requiere deshabilitar la protección contra malware. Es probable que se necesite cierta interacción e ingeniería social para que las víctimas realicen estos pasos”.
Este desarrollo ocurre mientras actores de amenazas norcoreanos siguen llevando a cabo campañas para obtener acceso remoto a empresas globales y engañar a empleados de empresas de criptomonedas para que descarguen malware bajo el pretexto de entrevistas de trabajo.
Fuente: thehackernews
