- Investigadores de seguridad de Group-IB han descubierto un nuevo malware único
- Abusa de los atributos extendidos de los archivos macOS para distribuir la carga útil
- El malware probablemente fue creado por actores patrocinados por el estado en Corea del Norte.
Los investigadores de ciberseguridad han encontrado algo más malware La variante macOS probablemente fue creada por el notorio grupo Lazarus de Corea del Norte.
El informe de Group-IB se refiere al descubrimiento de RustyAttr, un nuevo malware para MacOS creado utilizando el marco Tauri. t
El malware no está marcado en VirusTotal y se firmó en algún momento utilizando un archivo legítimo. manzana ID de desarrollador. Desde entonces, la identidad ha sido cancelada.
adjetivos extendidos
Días antes, investigadores de JAMF descubrieron algo parecido – Una aplicación aparentemente benigna de VirusTotal, creada con Flutter, actúa como puerta trasera para las víctimas de macOS.
En ambos casos, el malware utilizó nuevos métodos de ofuscación, pero no eran completamente funcionales, lo que llevó a los investigadores a creer que eran sólo experimentos, en los que los delincuentes buscaban nuevas formas de ocultar la infección.
Los investigadores afirman que se ha descubierto que RustyAttr está abusando de los temas extendidos de macOS.
Los atributos extendidos (xattrs) son una característica que permite que los archivos y directorios almacenen metadatos adicionales más allá de los atributos estándar como nombre, tamaño y permisos. Se utilizan para diversas cosas, desde almacenar información relacionada con la seguridad hasta etiquetar archivos con metadatos específicos y permitir la compatibilidad con otros sistemas de archivos. En este caso, el nombre del EA era “Prueba” y contenía un guión.
Cuando se ejecuta el malware, carga un sitio web que contiene un fragmento de JavaScript. JavaScript, llamado preload.js, extrae contenido de lo que parece ser un sitio de “prueba”. Esta ubicación luego se envía a la función “run_command”, donde la ejecuta el script de shell.
Mientras el proceso continúa, la víctima es engañada con un archivo PDF falso o un mensaje de error falso que aparece en primer plano.
Los investigadores dijeron que era probable que RustyAttr fuera construido por Lazarus, aunque como no se han reportado víctimas, esto no puede ser completamente seguro. Sin embargo, confían en que el malware fue diseñado para probar nuevos métodos de entrega y ofuscación en dispositivos macOS.
a través de pitidocomputadora