Un nuevo y astuto malware apunta a usuarios de macOS utilizando múltiples trucos.
Los hackers están explotando atributos extendidos en macOS para ocultar malware.
Investigadores en ciberseguridad han identificado una nueva variante de malware diseñada para el sistema operativo macOS, la cual se cree que ha sido desarrollada por el grupo Lazarus, vinculado al estado norcoreano. Este nuevo malware, denominado RustyAttr, está construido utilizando el marco Tauri y se caracteriza por haber eludido detecciones en VirusTotal. Originalmente, la aplicación contaba con una firma de desarrollador legítima de Apple que ya ha sido revocada.
Pocos días antes de este hallazgo, investigadores de Jamf habían encontrado una aplicación aparentemente inocua, también enlistada en VirusTotal, construida con Flutter. Esta aplicación, sin embargo, actuaba como un puerta trasera para las víctimas de macOS. En ambos casos, el malware presenta métodos novedosos de ofuscación, aunque los expertos consideran que no estaban completamente operativos, sugiriendo que estos podrían ser intentos de prueba para explorar nuevas tácticas de ocultación de infecciones.
RustyAttr hace uso de los atributos extendidos en macOS, una característica que permite a los archivos y directorios almacenar metadatos adicionales más allá de los atributos estándar como nombre, tamaño y permisos. Estos atributos se pueden utilizar para varias funciones, incluyendo el almacenamiento de información relacionada con la seguridad y el etiquetado de archivos con metadatos específicos.
Cuando se ejecuta, este malware carga un sitio web a través de un script de JavaScript llamado preload.js, que extrae contenido del atributo “test”, que funciona como una ubicación. Esta dirección se envía a la función ‘run_command’, donde el script de shell se ejecuta. Mientras este proceso tiene lugar, la víctima es engañada con un archivo PDF falso o un mensaje de error que aparece en primer plano.
Si bien los investigadores sospechan que RustyAttr fue creado por Lazarus, aún no hay víctimas reportadas, lo que impide una certeza absoluta al respecto. Sin embargo, los expertos se muestran confiados en que este malware fue diseñado para probar nuevos métodos de entrega y ofuscación en dispositivos macOS.
