Hacker usano attributi estesi di macOS per nascondere malware

I ricercatori di Group-IB gruppo di hacker nordcoreano Lazarus xattr test

Le applicazioni infette sono sviluppate usando il framework Tauri tecnologie web con un backend in Rust

Il Malware apre documenti PDF come esca

Per evitare sospetti, il malware spesso apre documenti PDF come esca, scaricandoli da una cartella pubblica su pCloud. I file contengono titoli relativi a investimenti in criptovalute, in linea con gli obiettivi tipici del gruppo Lazarus, noto per attaccare aziende e individui del settore finanziario.

I campioni di RustyAttr analizzati sono riusciti a eludere completamente i controlli di sicurezza su Virus Total e risultano firmati con certificati compromessi, che Apple ha successivamente revocato. Tuttavia, queste applicazioni non sono state notarizzate, un passaggio che avrebbe aumentato la difficoltà di esecuzione su macOS.

Un recente rapporto di SentinelLabs ha rivelato una tecnica simile utilizzata da un altro gruppo di hacker nordcoreano, BlueNoroff. Anche in questo caso, il focus era su attacchi legati alle criptovalute, sfruttando app malevole firmate e notarizzate per ottenere accesso non autorizzato ai sistemi macOS. Sebbene non ci sia conferma che queste campagne siano collegate, è evidente che diversi gruppi di cybercriminali stiano sperimentando metodi innovativi per aggirare le misure di sicurezza su macOS.