18/11/2024 23:30
18/11/2024 23:30
18/11/2024 23:30
18/11/2024 23:30
18/11/2024 23:25
18/11/2024 23:21
18/11/2024 23:19
18/11/2024 23:15
18/11/2024 23:14
18/11/2024 23:13
Federal » El Federaense
Fecha: 18/11/2024 17:49
Un reciente descubrimiento ha revelado cómo los actores de amenazas están utilizando una novedosa técnica para contrabandear malware en sistemas macOS. Este nuevo tipo de software malicioso, denominado RustyAttr, ha sido detectado por la empresa de ciberseguridad Group-IB. Esta técnica utiliza los atributos extendidos de los archivos del sistema operativo para ocultar sus intenciones maliciosas. Organización detrás del ataque: Lazarus Group Según la información proporcionada por Group-IB, hay una conexión moderada entre esta actividad y el notorious Lazarus Group, conocido por sus vínculos con Corea del Norte. Esta atribución se basa en superposiciones tácticas y de infraestructura que han sido observadas en campañas anteriores, como la conocida RustBucket. Sin embargo, los investigadores aún no han podido confirmar la existencia de víctimas relacionadas con este incidente. Un enfoque innovador en el contrabando de malware La técnica utilizada para este contrabando se asemeja a métodos encontrados en investigaciones anteriores, como el adware Bundlore en 2020, que escondía su carga [email protected] en bifurcaciones de recursos. En contraste, RustyAttr utiliza un enfoque más sofisticado, aprovechando atributos extendidos específicos para incrustar un script de shell dentro de los archivos. Atributos extendidos: Metadatos adicionales que se pueden extraer usando el comando xattr. Metadatos adicionales que se pueden extraer usando el comando xattr. Herramienta utilizada: Tauri, un framework de aplicaciones de escritorio. Tauri, un framework de aplicaciones de escritorio. Distracción: Muestra un mensaje de error o documentos PDFs aparentemente inocentes. Al ejecutar el script de shell, se activa un mecanismo de distracción que puede presentar un mensaje de error como “Esta aplicación no es compatible con esta versión”. Simultáneamente, puede abrir un documento PDF que aparenta estar relacionado con el desarrollo de videojuegos, desorientando así a la víctima. Páginas web y JavaScript malicioso Otro aspecto a destacar es que la aplicación maliciosa, creada bajo Tauri, carga páginas web diseñadas para ejecutar JavaScript malicioso. Este código obtiene los contenidos de los atributos extendidos y los ejecuta a través de un backend en Rust. Sin embargo, esto solo ocurre si los atributos extendidos están presentes; de lo contrario, se muestran páginas de error. A pesar de este descubrimiento alarmante, la capacidad de ataque parece limitada, ya que los sistemas macOS ofrecen ciertas protecciones, como la funcionalidad Gatekeeper, que protege contra el malware. Para que un ataque tenga éxito, los usuarios tendrían que deshabilitar estrategias de protección, posiblemente a través de técnicas de ingeniería social que persuadan a las víctimas para que sigan pasos riesgosos. Escalofriantes implicaciones futuras El surgimiento de RustyAttr ocurre en un contexto donde los actores de amenazas norcoreanos intensifican sus esfuerzos por obtener acceso a sistemas de empresas globales, incluyendo a aquellas del sector de criptomonedas. Si bien aún no se han reportado víctimas, la posibilidad de que este malware evolucione y cause estragos en el futuro es innegable.
Ver noticia original
.gif)
 (1).jpg)
Examedia © 2024
Desarrollado por