Nessun risultato. Prova con un altro termine.
Guide
Notizie
Software
Tutorial

Hacker usano attributi estesi di macOS per nascondere malware

Gli hacker stanno sfruttando una nuova tecnica per attaccare macOS, utilizzando gli attributi estesi dei file per nascondere un codice malevolo.
Hacker usano attributi estesi di macOS per nascondere malware
Gli hacker stanno sfruttando una nuova tecnica per attaccare macOS, utilizzando gli attributi estesi dei file per nascondere un codice malevolo.
Link copiato negli appunti
Gli hacker stanno sfruttando una nuova tecnica per attaccare macOS, utilizzando gli attributi estesi (Extended Attributes - EA) dei file per nascondere un codice malevolo. Questa metodologia, osservata di recente e chiamata RustyAttr, coinvolge la memorizzazione di script malevoli all'interno dei metadati nascosti dei file, rendendoli difficilmente rilevabili dai software di sicurezza.

I ricercatori di Group-IB hanno individuato questa minaccia e l'hanno attribuita con moderata confidenza al gruppo di hacker nordcoreano Lazarus, suggerendo che stiano testando nuovi metodi di distribuzione del malware. Gli attributi estesi sono metadati aggiuntivi che macOS associa a file e directory, non visibili di default. È possibile consultarli tramite il comando "xattr" nel terminale. In questo caso specifico, il malware sfrutta un EA denominato "test", contenente uno script shell malevolo.

Le applicazioni infette sono sviluppate usando il framework Tauri, che combina tecnologie web (HTML e JavaScript) con un backend in Rust. Quando l'utente esegue l'app, viene caricata una pagina web che esegue un file JavaScript ("preload.js"). Questo script legge il contenuto dell'attributo esteso "test" e lo passa alla funzione "run_command", eseguendo così il codice nascosto.

Il Malware apre documenti PDF come esca

Per evitare sospetti, il malware spesso apre documenti PDF come esca, scaricandoli da una cartella pubblica su pCloud. I file contengono titoli relativi a investimenti in criptovalute, in linea con gli obiettivi tipici del gruppo Lazarus, noto per attaccare aziende e individui del settore finanziario.

I campioni di RustyAttr analizzati sono riusciti a eludere completamente i controlli di sicurezza su Virus Total e risultano firmati con certificati compromessi, che Apple ha successivamente revocato. Tuttavia, queste applicazioni non sono state notarizzate, un passaggio che avrebbe aumentato la difficoltà di esecuzione su macOS.

Un recente rapporto di SentinelLabs ha rivelato una tecnica simile utilizzata da un altro gruppo di hacker nordcoreano, BlueNoroff. Anche in questo caso, il focus era su attacchi legati alle criptovalute, sfruttando app malevole firmate e notarizzate per ottenere accesso non autorizzato ai sistemi macOS. Sebbene non ci sia conferma che queste campagne siano collegate, è evidente che diversi gruppi di cybercriminali stiano sperimentando metodi innovativi per aggirare le misure di sicurezza su macOS.

Ti consigliamo anche