Utilizan atributos de archivos extendidos de macOS para ocultar código malicioso

Iniciado por AXCESS, Noviembre 16, 2024, 02:00:35 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Noviembre 16, 2024, 02:00:35 AM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los piratas informáticos están utilizando una técnica novedosa que abusa de los atributos extendidos de los archivos de macOS para distribuir un nuevo troyano que los investigadores llaman RustyAttr.

El actor de amenazas oculta código malicioso en metadatos de archivos personalizados y también utiliza documentos PDF señuelo para ayudar a evadir la detección.

La nueva técnica es similar a la forma en que el adware Bundlore ocultó sus cargas útiles en bifurcaciones de recursos en 2020 para ocultar cargas útiles para macOS. Fue descubierto en algunas muestras de malware en circulación por investigadores de la empresa de ciberseguridad Group-IB.

Basándose en su análisis y debido a que no pudieron confirmar ninguna víctima, los investigadores atribuyen las muestras al actor norcoreano de amenazas Lazarus con una confianza moderada. Creen que el atacante puede estar experimentando con una nueva solución de distribución de malware.

El método es poco común y demostró ser eficaz contra la detección, ya que ninguno de los agentes de seguridad de la plataforma Virus Total marcó los archivos maliciosos.

Código oculto en atributos de archivo

Los atributos extendidos (EA) de macOS representan metadatos ocultos generalmente asociados con archivos y directorios, que no son directamente visibles con Finder o la terminal, pero se pueden extraer utilizando el comando 'xattr' para mostrar, editar o eliminar atributos extendidos.

En el caso de los ataques RustyAttr, el nombre del EA es 'test' y contiene un script de shell.

Script de shell dentro de un atributo extendido de macOS. Fuente: Group-IB
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Las aplicaciones maliciosas que almacenan el EA se crean utilizando el marco Tauri, que combina un frontend web (HTML, JavaScript) que puede llamar a funciones en un backend de Rust.

Cuando se ejecuta la aplicación, carga una página web que contiene un JavaScript ('preload.js') que obtiene el contenido de la ubicación indicada en el EA de "prueba" y lo envía a la función 'run_command' para que se ejecute el script de shell.

Contenido de preload.js. Fuente: Group-IB
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Para mantener baja la sospecha del usuario durante este proceso, algunas muestras lanzan archivos PDF señuelo o muestran cuadros de diálogo de error.

Decoy PDF oculta actividad maliciosa en segundo plano
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El PDF se obtiene de una instancia de pCloud para compartir archivos públicos que también contiene entradas con nombres relacionados con temas de inversión en criptomonedas, lo que se alinea con los objetivos y metas de Lazarus.

Las pocas muestras de aplicaciones RustyAttr que encontró Group-IB pasaron todas las pruebas de detección de Virus Total y las aplicaciones se firmaron utilizando un certificado filtrado, que Apple revocó desde entonces, pero no fueron certificadas.

Detalles del certificado de la aplicación
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Group-IB no pudo recuperar ni analizar el malware de la siguiente etapa, pero descubrió que el servidor de prueba se conecta a un punto final conocido en la infraestructura de Lazarus para intentar obtenerlo.

Flujo de ejecución
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Experimentos con evasión en macOS

El caso informado por Group-IB es muy similar a otro informe reciente de SentinelLabs, que observó que el actor de amenazas norcoreano BlueNoroff experimentaba con técnicas similares pero distintas para evadir macOS.

BlueNoroff utilizó técnicas de phishing con temática de criptomonedas para atraer a los objetivos a descargar una aplicación maliciosa que estaba firmada y certificada.

Las aplicaciones usaban un archivo "Info.plist" modificado para activar de forma sigilosa una conexión maliciosa al dominio controlado por el atacante desde donde se recupera la carga útil de la segunda etapa.

Se desconoce si las campañas están relacionadas, pero es común que grupos de actividades separados utilicen la misma información sobre cómo violar eficazmente los sistemas macOS sin activar las alarmas.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario