Nessun risultato. Prova con un altro termine.
Guide
Notizie
Software
Tutorial
Aree
magazine
About

Hacker usano attributi estesi di macOS per nascondere malware

Gli hacker stanno sfruttando una nuova tecnica per attaccare macOS, utilizzando gli attributi estesi dei file per nascondere un codice malevolo.
Hacker usano attributi estesi di macOS per nascondere malware
Gli hacker stanno sfruttando una nuova tecnica per attaccare macOS, utilizzando gli attributi estesi dei file per nascondere un codice malevolo.
Francesco Messina
Pubblicato il 14 nov 2024
Link copiato negli appunti
Gli hacker stanno sfruttando una nuova tecnica per attaccare macOS, utilizzando gli attributi estesi (Extended Attributes - EA) dei file per nascondere un codice malevolo. Questa metodologia, osservata di recente e chiamata RustyAttr, coinvolge la memorizzazione di script malevoli all'interno dei metadati nascosti dei file, rendendoli difficilmente rilevabili dai software di sicurezza.

I ricercatori di Group-IB hanno individuato questa minaccia e l'hanno attribuita con moderata confidenza al gruppo di hacker nordcoreano Lazarus, suggerendo che stiano testando nuovi metodi di distribuzione del malware. Gli attributi estesi sono metadati aggiuntivi che macOS associa a file e directory, non visibili di default. È possibile consultarli tramite il comando "xattr" nel terminale. In questo caso specifico, il malware sfrutta un EA denominato "test", contenente uno script shell malevolo.

Le applicazioni infette sono sviluppate usando il framework Tauri, che combina tecnologie web (HTML e JavaScript) con un backend in Rust. Quando l'utente esegue l'app, viene caricata una pagina web che esegue un file JavaScript ("preload.js"). Questo script legge il contenuto dell'attributo esteso "test" e lo passa alla funzione "run_command", eseguendo così il codice nascosto.

Il Malware apre documenti PDF come esca

Per evitare sospetti, il malware spesso apre documenti PDF come esca, scaricandoli da una cartella pubblica su pCloud. I file contengono titoli relativi a investimenti in criptovalute, in linea con gli obiettivi tipici del gruppo Lazarus, noto per attaccare aziende e individui del settore finanziario.

I campioni di RustyAttr analizzati sono riusciti a eludere completamente i controlli di sicurezza su Virus Total e risultano firmati con certificati compromessi, che Apple ha successivamente revocato. Tuttavia, queste applicazioni non sono state notarizzate, un passaggio che avrebbe aumentato la difficoltà di esecuzione su macOS.

Un recente rapporto di SentinelLabs ha rivelato una tecnica simile utilizzata da un altro gruppo di hacker nordcoreano, BlueNoroff. Anche in questo caso, il focus era su attacchi legati alle criptovalute, sfruttando app malevole firmate e notarizzate per ottenere accesso non autorizzato ai sistemi macOS. Sebbene non ci sia conferma che queste campagne siano collegate, è evidente che diversi gruppi di cybercriminali stiano sperimentando metodi innovativi per aggirare le misure di sicurezza su macOS.

Ti consigliamo anche

LastPass: 50% di sconto per il password manager con password illimitate
Privacy e sicurezza

LastPass: 50% di sconto per il password manager con password illimitate
Navigare in sicurezza online: 3 motivi per cui una VPN fa la differenza
VPN

Navigare in sicurezza online: 3 motivi per cui una VPN fa la differenza
SmartPOS Easy di Axerve: zero canone e commissioni all'1%
Antivirus

SmartPOS Easy di Axerve: zero canone e commissioni all'1%
VPN e antivirus: l'accoppiata vincente di Norton VPN
VPN

VPN e antivirus: l'accoppiata vincente di Norton VPN