Investigadores de seguridad de Group-IB descubrieron una nueva pieza única de malware. Abusa de los atributos extendidos de los archivos de macOS para desplegar la carga útil. Es probable que el malware haya sido construido por actores patrocinados por el estado de Corea del Norte.
Investigadores de ciberseguridad se toparon con otra variante de malware para macOS probablemente construida por el notorio grupo Lazarus de Corea del Norte.
El informe de Group-IB se refiere al descubrimiento de RustyAttr, una nueva pieza de malware para macOS construida utilizando el marco Tauri.
El malware no fue detectado en VirusTotal y, en un momento, fue firmado usando un ID de desarrollador legítimo de Apple. El ID ha sido revocado desde entonces.
Días antes, investigadores de Jamf encontraron algo similar: una aplicación aparentemente benigna en VirusTotal, construida con Flutter, y actuando como una puerta trasera para las víctimas de macOS.
En ambos casos, el malware utilizó métodos de ofuscación novedosos, pero no estaba completamente operativo, lo que llevó a los investigadores a creer que eran simples experimentos, ya que los delincuentes buscan nuevas formas de ocultar la infección.
RustyAttr fue encontrado abusando de los atributos extendidos de macOS, según afirman los investigadores.
Cuando el malware se ejecuta, carga un sitio web con un trozo de JavaScript. Este JavaScript, llamado preload.js, extrae contenido de “test”, que parece ser una ubicación. Esta ubicación luego se envía a la función ‘run_command’, donde se ejecuta el script de shell.
Mientras el proceso está en curso, la víctima es engañada con un archivo PDF falso o un mensaje de error falso que aparece en primer plano.
Los investigadores dijeron que RustyAttr fue construido probablemente por Lazarus, aunque como no hay víctimas reportadas, no pueden estar absolutamente seguros. Sin embargo, están seguros de que el malware fue construido para probar nuevos métodos de entrega y ofuscación en dispositivos macOS.