Se ha descubierto que los actores de amenazas aprovechan una nueva técnica que abusa de los atributos extendidos de los archivos de macOS para contrabandear un nuevo malware llamado RustyAttr.
La empresa de ciberseguridad de Singapur ha atribuido la nueva actividad con moderada confianza al infame Lazarus Group, vinculado a Corea del Norte, citando superposiciones tácticas y de infraestructura observadas en relación con campañas anteriores, incluido RustBucket.
Los atributos extendidos se refieren a metadatos adicionales asociados con archivos y directorios que se pueden extraer usando un comando dedicado llamado xattr. A menudo se utilizan para almacenar información que va más allá de los atributos estándar, como el tamaño del archivo, las marcas de tiempo y los permisos.
Las aplicaciones maliciosas descubiertas por Group-IB se crean utilizando Tauri, un marco de aplicaciones de escritorio multiplataforma, y están firmadas con un certificado filtrado que desde entonces ha sido revocado por Apple. Incluyen un atributo extendido que está configurado para buscar y ejecutar un script de shell.
La ejecución del script de shell también activa un señuelo, que sirve como mecanismo de distracción al mostrar un mensaje de error “Esta aplicación no es compatible con esta versión” o un documento PDF aparentemente inofensivo relacionado con el desarrollo y la financiación de proyectos de juegos.
“Al ejecutar la aplicación, la aplicación Tauri intenta representar una página web HTML usando WebView”, dijo el investigador de seguridad de Group-IB, Sharmine Low. “El (actor amenazador) utilizó una plantilla aleatoria extraída de Internet”.
Pero lo que también es notable es que estas páginas web están diseñadas para cargar JavaScript malicioso, que luego obtiene el contenido de los atributos extendidos y lo ejecuta mediante un backend de Rust. Dicho esto, la página web falsa finalmente se muestra sólo en los casos en los que no hay atributos extendidos.
El objetivo final de la campaña sigue sin estar claro, especialmente a la luz del hecho de que no ha habido evidencia de más cargas útiles ni víctimas confirmadas.
“Afortunadamente, los sistemas macOS brindan cierto nivel de protección para las muestras encontradas”, dijo Low. “Para desencadenar el ataque, los usuarios deben desactivar Gatekeeper anulando la protección contra malware. Es probable que sea necesario cierto grado de interacción e ingeniería social para convencer a las víctimas de que sigan estos pasos”.
El desarrollo se produce cuando los actores de amenazas norcoreanos han estado participando en extensas campañas que tienen como objetivo asegurar posiciones remotas con empresas de todo el mundo, así como engañar a los empleados actuales que trabajan en empresas de criptomonedas para que descarguen malware con el pretexto de codificar entrevistas.
