Gli attributi estesi macOS permettono di eludere le protezioni antimalware: attenzione

I criminali informatici e i malware writer sono costantemente alla ricerca di nuove efficaci strategie per eludere i controlli esercitati dal sistema operativo e dai software di sicurezza. I ricercatori di Group-IB hanno scoperto che gli aggressori stanno facendo uso di una nuova tecnica che sfrutta in modo improprio gli attributi estesi dei file macOS per diffondere codice malevolo sui sistema della Mela.

Gli attributi estesi (EA) di macOS rappresentano metadati nascosti, solitamente associati a file e directory, che non sono direttamente visibili con il Finder o il terminale, ma possono essere estratti utilizzando il comando xattr. Quest’ultimo è utile a visualizzare, modificare o rimuovere gli attributi estesi.

La tattica degli attributi estesi macOS per bypassare il rilevamento antimalware

Gli esperti di Group-IB spiegano che, nel caso degli esemplari sin qui scoperti, l’attacco facente leva sugli attributi estesi macOS risulta particolarmente efficace. Tra l’altro, nessun motore di scansione antimalware disponibile sulla piattaforma VirusTotal è al momento riuscito a rilevare la presenza della minaccia.

Vista la novità dell’approccio e la finezza tecnica con cui l’aggressione è messa a terra, i ricercatori attribuiscono l’operazione al noto gruppo hacker Lazarus, finanziato dall’amministrazione nordcoreana.

Le app malevole poste sotto la lente da Group-IB sono sviluppate utilizzando il framework Tauri, che poggia su di un frontend Web (HTML, JavaScript) in grado di richiamare funzioni su un backend Rust. Dopo l’esecuzione dell’applicazione dannosa, per mantenere bassi i sospetti, di solito è impostata l’apertura automatica di un documento PDF o la visualizzazione di un errore.

Il componente maligno, battezzato RustyAttr, utilizza un attacco “a catena” che, grazie agli espedienti utilizzati, al momento evita di far drizzare le antenne agli utenti e ai software di sicurezza. Inoltre, sfrutta un certificato digitale rubano che Apple aveva già revocato in precedenza ma che non aveva inserito nel suo processo di notarizzazione.

Nel caso di Apple, la notarizzazione è una misura di sicurezza che attesta la fiducia e l’integrità di un’app: quando un’applicazione riesce a sottrarsi a questa procedura può essere più suscettibile per l’utilizzo con finalità dannose.

Credit immagine in apertura: Group-IB