Programa malicioso RustyAttr para Mac
Los investigadores han identificado que los actores de amenazas ahora están empleando un método innovador que aprovecha los atributos extendidos en los archivos macOS para ocultar una nueva amenaza conocida como RustyAttr.
Esta nueva campaña ha sido vinculada razonablemente al conocido Grupo Lazarus , que está asociado con Corea del Norte. La atribución se basa en similitudes observadas en la infraestructura y las tácticas relacionadas con campañas anteriores, incluida RustBucket.
Los atributos extendidos hacen referencia a metadatos complementarios vinculados a archivos y directorios, a los que se puede acceder mediante un comando conocido como xattr. Estos atributos se utilizan normalmente para almacenar información más allá de los detalles estándar, como el tamaño del archivo, las marcas de tiempo y los permisos.
Las aplicaciones amenazantes comparten varias conexiones
Los investigadores han descubierto aplicaciones amenazantes creadas con Tauri, un marco multiplataforma para aplicaciones de escritorio, y firmadas con un certificado filtrado que Apple ha revocado. Estas aplicaciones incluyen un atributo extendido diseñado para recuperar y ejecutar un script de shell.
Cuando se ejecuta el script de shell, también se activa un señuelo destinado a desviar la atención. Este señuelo puede presentar un mensaje de error que indique "Esta aplicación no es compatible con esta versión" o mostrar un PDF inofensivo relacionado con el desarrollo y la financiación de un proyecto de juegos.
Cómo se desarrolla el ataque RustyAttr
Cuando se inicia la aplicación, el marco Tauri intenta mostrar una página web HTML utilizando un WebView, y el actor de la amenaza selecciona una plantilla aleatoria obtenida de Internet.
Lo que es particularmente notable es que estas páginas web están diseñadas para cargar JavaScript no seguro, que extrae el contenido de los atributos extendidos y lo ejecuta a través de un backend de Rust. Sin embargo, la página web falsa solo se muestra si no hay atributos extendidos presentes.
El objetivo final de la campaña sigue siendo incierto, sobre todo porque no hay evidencia de cargas adicionales ni víctimas confirmadas.
Afortunadamente, los sistemas macOS ofrecen cierta protección contra las muestras descubiertas. Para iniciar el ataque, los usuarios tendrían que desactivar Gatekeeper eludiendo las protecciones integradas contra malware. Probablemente se requiera cierto nivel de interacción del usuario e ingeniería social para persuadir a las víctimas de que realicen estas acciones.
