Gli hacker stanno utilizzando una nuova tecnica per nascondere codice malizioso nei file macOS, sfruttando gli attributi estesi dei file (EAs) per evadere le misure di sicurezza. Questa tecnica, denominata RustyAttr, è stata scoperta da ricercatori della società di sicurezza Group-IB e sembra essere utilizzata da un gruppo di hacker nordcoreani, noti come Lazarus.
Come funziona la tecnica RustyAttr
Concezione dei file maliziosi
La tecnica RustyAttr consiste nell’utilizzo di attributi estesi dei file (EAs) per nascondere il codice malizioso. Gli EAs rappresentano metadati nascosti associati ai file e ai directory, che non sono direttamente visibili con Finder o il terminale ma possono essere estratti utilizzando il comando xattr.
Costruzione dei file maliziosi
I file maliziosi costruiti con la tecnica RustyAttr utilizzano il framework Tauri, che combina una interfaccia web (HTML, JavaScript) che può chiamare funzioni su un backend in Rust. Quando l’applicazione viene eseguita, carica una pagina web contenente un JavaScript (preload.js) che recupera il contenuto dal nome dell’EA test e lo invia alla funzione run_command per l’esecuzione dello script shell.
Decoys e evasione della sicurezza
Per mantenere bassa la sospettosità degli utenti durante questo processo, alcuni campioni di malware lanciano file PDF decoy o mostrano dialoghi di errore. I file PDF sono recuperati da un’istanza di pCloud per la condivisione pubblica dei file, che contiene entrate con nomi correlati agli investimenti in criptovalute, allineati con gli obiettivi e le strategie dei gruppi hacker nordcoreani.
Analisi dei campioni di malware
I ricercatori di Group-IB hanno analizzato alcuni campioni di malware e hanno scoperto che tutti passavano i test di detezione su Virus Total. Inoltre, gli app hanno utilizzato un certificato rubato, che Apple ha successivamente revocato, ma non erano notarizzati. Nonostante ciò, non è stato possibile recuperare e analizzare il malware di seconda fase, poiché il server di staging si connetteva a un endpoint noto dell’infrastruttura di Lazarus per tentare di recuperare il malware successivo.
Analisi comparativa con altre tecniche di evasione
La tecnica RustyAttr è simile a quella utilizzata dal Bundlore adware nel 2020, che nascondeva i payload nei resource forks dei file macOS per evadere le misure di sicurezza. Altri gruppi di hacker, come BlueNoroff, stanno sperimentando tecniche simili per evadere le misure di sicurezza dei sistemi macOS. Queste tecniche includono l’uso di file Info.plist modificati per attivare connessioni maliziose senza essere rilevate.
Suggerimenti e consigli per la sicurezza
Utilizzo di strumenti di sicurezza avanzati
- Utilizzo di strumenti di sicurezza avanzati: Utilizzare strumenti di sicurezza che supportano l’analisi avanzata dei file e delle loro proprietà, come gli attributi estesi dei file (EAs), può aiutare a rilevare il malware nascondendosi in questi metadati nascosti.
- Aggiornamento dei software: Assicurarsi che tutti i software siano aggiornati, compresi i sistemi operativi e gli strumenti di sicurezza, poiché gli aggiornamenti spesso includono patch per le vulnerabilità note che possono essere sfruttate dai malware.
- Notarizzazione e verifica dei file: Verificare sempre la notarizzazione dei file e la loro firma da parte di sviluppatori autenticati. Se un file non è notarizzato o non è firmato da un sviluppatore autenticato, è probabile che sia malizioso.
- Utilizzo di antivirus avanzati: Utilizzare antivirus che supportano l’analisi avanzata dei file e delle loro proprietà, come gli attributi estesi dei file (EAs), può aiutare a rilevare il malware nascondendosi in questi metadati nascosti.
- Educazione degli utenti: Educazione degli utenti sui rischi associati ai file e-mail sospetti, come quelli che contengono allegati ZIP concatenati o file PDF decoy, può aiutare a prevenire l’infettazione.
- Implementazione di filtri di sicurezza: Implementare filtri di sicurezza nei sistemi critici per bloccare estensioni di file sospette, come ZIP o RAR, può aiutare a ridurre il rischio di infettazione.
Utilizzo di strumenti di sicurezza avanzati
- Strumenti di sicurezza: Utilizzare strumenti di sicurezza come XProtect, che è integrato nel sistema operativo macOS, può aiutare a rilevare e bloccare il malware nascondendosi in attributi estesi dei file (EAs).
- Strumenti di analisi: Utilizzare strumenti di analisi avanzata come
xattrper mostrare, modificare o rimuovere gli attributi estesi dei file (EAs) può aiutare a identificare il malware nascondendosi in questi metadati nascosti.
Educazione degli utenti
- Educazione: Educazione degli utenti sui rischi associati ai file e-mail sospetti, come quelli che contengono allegati ZIP concatenati o file PDF decoy, può aiutare a prevenire l’infettazione.
- Sensibilizzazione: Sensibilizzare gli utenti sull’importanza di verificare sempre la notarizzazione e la firma dei file da parte di sviluppatori autenticati può aiutare a ridurre il rischio di infettazione.
Implementazione di filtri di sicurezza
- Filtri di sicurezza: Implementare filtri di sicurezza nei sistemi critici per bloccare estensioni di file sospette, come ZIP o RAR, può aiutare a ridurre il rischio di infettazione.
- Configurazione dei sistemi: Configurare i sistemi per che non eseguano automaticamente i file allegati a messaggi e-mail sospetti, ma richiedano l’intervento dell’utente per l’esecuzione.
La tecnica RustyAttr rappresenta una minaccia significativa per la sicurezza dei sistemi macOS, poiché sfrutta gli attributi estesi dei file (EAs) per nascondere il codice malizioso. È importante utilizzare strumenti di sicurezza avanzati, notarizzare e verificare i file, ed educare gli utenti sui rischi associati ai file e-mail sospetti per prevenire l’infettazione. Implementare filtri di sicurezza nei sistemi critici e configurare i sistemi per richiedere l’intervento dell’utente per l’esecuzione dei file allegati a messaggi e-mail sospetti può aiutare a ridurre il rischio di infettazione.
