I ricercatori di Group-IB hanno individuato questa minaccia e l'hanno attribuita con moderata confidenza al gruppo di hacker nordcoreano Lazarus, suggerendo che stiano testando nuovi metodi di distribuzione del malware. Gli attributi estesi sono metadati aggiuntivi che macOS associa a file e directory, non visibili di default. È possibile consultarli tramite il comando "xattr" nel terminale. In questo caso specifico, il malware sfrutta un EA denominato "test", contenente uno script shell malevolo.
Le applicazioni infette sono sviluppate usando il framework Tauri, che combina tecnologie web (HTML e JavaScript) con un backend in Rust. Quando l'utente esegue l'app, viene caricata una pagina web che esegue un file JavaScript ("preload.js"). Questo script legge il contenuto dell'attributo esteso "test" e lo passa alla funzione "run_command", eseguendo così il codice nascosto.
Il Malware apre documenti PDF come esca
Per evitare sospetti, il malware spesso apre documenti PDF come esca, scaricandoli da una cartella pubblica su pCloud. I file contengono titoli relativi a investimenti in criptovalute, in linea con gli obiettivi tipici del gruppo Lazarus, noto per attaccare aziende e individui del settore finanziario.
I campioni di RustyAttr analizzati sono riusciti a eludere completamente i controlli di sicurezza su Virus Total e risultano firmati con certificati compromessi, che Apple ha successivamente revocato. Tuttavia, queste applicazioni non sono state notarizzate, un passaggio che avrebbe aumentato la difficoltà di esecuzione su macOS.
Un recente rapporto di SentinelLabs ha rivelato una tecnica simile utilizzata da un altro gruppo di hacker nordcoreano, BlueNoroff. Anche in questo caso, il focus era su attacchi legati alle criptovalute, sfruttando app malevole firmate e notarizzate per ottenere accesso non autorizzato ai sistemi macOS. Sebbene non ci sia conferma che queste campagne siano collegate, è evidente che diversi gruppi di cybercriminali stiano sperimentando metodi innovativi per aggirare le misure di sicurezza su macOS.