Il malware colpisce i dispositivi Apple
Un nuovo allarme di sicurezza informatica ha recentemente scosso il mondo Apple: il gruppo nordcoreano Lazarus ha ideato una tecnica sofisticata per nascondere codice infetto all’interno dei metadati dei file su macOS. Questo approccio è stato utilizzato per distribuire il malware chiamato RustyAttr, sfruttando gli attributi estesi del sistema operativo di Apple. Questo articolo esplora nel dettaglio come questa minaccia funziona e come gli utenti possono proteggere i propri dispositivi.
L’ascesa del gruppo Lazarus nel cyber crimine
Il gruppo Lazarus, ben noto per le sue sofisticate campagne di hacking, ha dimostrato ancora una volta di avere un arsenale avanzato per aggirare le misure di sicurezza. Questa volta, hanno mirato a dispositivi macOS utilizzando una tecnica mai vista prima.
Attributi estesi: una vulnerabilità poco conosciuta
In macOS, i file e le directory possiedono attributi estesi che possono contenere informazioni aggiuntive non visibili nel Finder. Gli attributi estesi sono generalmente usati per metadata come le etichette dei file, ma possono essere sfruttati per nascondere codice malevolo.
Cos’è il malware RustyAttr?
Il malware RustyAttr è stato progettato per infiltrarsi silenziosamente nei sistemi macOS senza destare sospetti. Utilizzando gli attributi estesi, il codice infetto rimane nascosto agli occhi degli utenti e persino a molte soluzioni di sicurezza.
Come funziona l’attacco: il ruolo degli attributi estesi
I ricercatori di Group-IB hanno scoperto che Lazarus ha utilizzato l’attributo esteso chiamato “test” per nascondere uno script di shell. Questo script viene eseguito quando un’applicazione (creata con il framework Tauri) legge l’attributo nascosto.
Strumenti di attacco: il framework Tauri
Il framework Tauri è stato scelto per la sua flessibilità nel creare applicazioni cross-platform. Gli hacker hanno sfruttato questa piattaforma per firmare un’applicazione con un certificato rubato, aggirando così i controlli di sicurezza di macOS.
Attacco in azione: il download del malware
L’attacco è mascherato mostrando un documento PDF o un messaggio di errore, mentre nel frattempo un JavaScript nascosto scarica il malware RustyAttr sul Mac della vittima.
| Tecnica Utilizzata | Descrizione | Impatto |
|---|---|---|
| Attributi estesi | Nascondono script di shell nei file | Esecuzione nascosta di malware |
| Framework Tauri | Creazione di app cross-platform | Elusione dei controlli di sicurezza |
| Certificato rubato | Firma dell’app malevola | Bypass di Gatekeeper |
Come riconoscere un file infetto
Gli utenti possono visualizzare gli attributi estesi utilizzando il comando terminale xattr. Tuttavia, senza una conoscenza approfondita, identificare gli attributi sospetti può risultare complicato.
Il ruolo del Gatekeeper di macOS
Sebbene la funzionalità Gatekeeper avvisi gli utenti riguardo a software non verificato, spesso gli utenti ignorano questi avvisi, esponendo i propri dispositivi a rischi.
Protezione contro gli attacchi: best practice
Per proteggere i propri dispositivi da attacchi simili, è consigliabile:
- Non disattivare Gatekeeper.
- Evitare di aprire file provenienti da fonti sconosciute.
- Utilizzare un antivirus aggiornato che rilevi anche minacce nascoste nei metadati.
Analisi del traffico di rete
I ricercatori hanno scoperto che il server utilizzato per distribuire il malware appartiene all’infrastruttura di Lazarus, confermando il coinvolgimento del gruppo.
| Indicatore | Dettaglio |
|---|---|
| Server C2 | Infrastruttura Lazarus |
| Periodo di Attività | Gennaio – Ottobre 2024 |
| Tecnica di Infiltrazione | Attributi estesi di macOS |
Un futuro incerto per la sicurezza macOS
Gli attacchi che sfruttano tecniche avanzate come questa sollevano preoccupazioni sulla sicurezza di macOS. Con la crescente popolarità dei dispositivi Apple, è probabile che i cybercriminali continuino a sviluppare nuove tecniche per aggirare le difese del sistema.
Messaggi chiave per gli utenti
È fondamentale rimanere vigili, specialmente quando si utilizzano dispositivi per lavoro o si gestiscono dati sensibili. Apple potrebbe dover potenziare le sue difese per affrontare queste minacce emergenti.
Il gruppo Lazarus continua a dimostrare un’elevata competenza tecnica, mettendo a rischio la sicurezza degli utenti Apple. Gli utenti devono prendere precauzioni aggiuntive per proteggere i propri dispositivi da queste minacce sempre più sofisticate.
