Los dispositivos Apple siempre han tenido fama de ser más seguros frente a ciberamenazas, pero esa percepción no significa que sean invulnerables. Recientemente, hackers están usando una técnica bastante creativa para atacar macOS: están aprovechando los atributos extendidos de los archivos para esconder un nuevo troyano llamado RustyAttr, según descubrieron investigadores en ciberseguridad.
Básicamente, estos atacantes ocultan el código malicioso en los metadatos personalizados de los archivos y, para colmo, utilizan documentos PDF como señuelo, lo que les ayuda a pasar desapercibidos frente a los antivirus y las medidas de seguridad tradicionales.
Lo interesante (y preocupante) es que esta técnica no es completamente nueva. Algo similar lo vimos en 2020, cuando el adware Bundlore usó bifurcaciones de recursos para camuflar sus cargas maliciosas en macOS. Sin embargo, en este caso, los investigadores de Group-IB detectaron esta variante más sofisticada en algunas muestras de malware que circulan actualmente por la red.
Tras analizar las muestras, los investigadores creen que el grupo norcoreano Lazarus está detrás de esto, aunque no están 100% seguros porque, hasta ahora, no han podido confirmar ninguna víctima. Todo apunta a que los atacantes están probando una nueva forma de distribuir malware, quizá como parte de un experimento.
Lo preocupante es que este método es bastante raro y, además, efectivo: ninguno de los antivirus en VirusTotal logró detectar los archivos maliciosos. Sí, ninguno. Eso hace que esta técnica sea aún más peligrosa.
¿Cómo ocultan el código en los atributos de archivo?
Los atributos extendidos (EA) en macOS son básicamente metadatos ocultos que se asocian a archivos y carpetas. No puedes verlos directamente desde Finder o incluso con la terminal, a menos que uses un comando específico como xattr, que te permite mostrarlos, editarlos o eliminarlos.
En los ataques de RustyAttr, los hackers usan un atributo llamado simplemente 'test', y ahí es donde esconden un script de shell malicioso. Es una manera súper discreta de pasar desapercibidos y lanzar sus ataques sin que nadie lo note a simple vista.
Las apps maliciosas que aprovechan estos atributos extendidos se crean con Tauri, un framework que mezcla una interfaz web (HTML y JavaScript) con un backend escrito en Rust. Básicamente, es una combinación perfecta para que todo parezca inofensivo mientras hacen de las suyas en el fondo.
Cuando ejecutas una de estas aplicaciones, lo que realmente hacen es cargar una página web con un archivo JavaScript (preload.js). Este script se encarga de extraer el contenido del atributo extendido llamado "test" y lo envía a una función llamada run_command, que luego ejecuta el script de shell malicioso.
Para no levantar sospechas, los atacantes tienen un par de trucos bajo la manga: algunas de estas apps muestran un archivo PDF señuelo o, en otros casos, lanzan cuadros de error falsos. Todo diseñado para distraerte mientras el malware hace su trabajo en segundo plano.
PDF señuelo oculta una actividad maliciosa en segundo plano
El PDF utilizado como señuelo proviene de una instancia pública de pCloud, un servicio de almacenamiento de archivos. Dentro de esta instancia, también había otros documentos con nombres relacionados con inversiones en criptomonedas, lo que encaja perfectamente con los objetivos habituales del grupo Lazarus, famoso por sus ataques dirigidos a sectores financieros.
Las pocas aplicaciones maliciosas de RustyAttr lograron pasar sin problemas todas las pruebas de detección en VirusTotal. Además, estas apps estaban firmadas con un certificado filtrado (que Apple ya revocó), pero, curiosamente, no estaban certificadas oficialmente.
Aunque los investigadores no lograron recuperar ni analizar el malware de la siguiente etapa del ataque, sí descubrieron algo interesante: el servidor de prueba utilizado se conectaba a un punto final conocido que forma parte de la infraestructura de Lazarus, posiblemente para descargar el siguiente componente del ataque.
Flujo de ejecución (Fuente: Group IB)
Podría interesarte leer: ¿Qué es un Virus Troyano?
Probando nuevas formas de evadir macOS
El caso que reportó Group-IB tiene mucho en común con otro informe reciente de SentinelLabs, donde se observó al grupo norcoreano BlueNoroff probando técnicas parecidas (aunque ligeramente diferentes) para pasar desapercibidos en macOS.
En esa campaña, BlueNoroff utilizó correos de phishing con temática de criptomonedas para convencer a las víctimas de que descargaran una app maliciosa. Lo curioso es que la app estaba firmada y certificada, lo que la hacía parecer legítima.
El truco aquí estaba en un archivo Info.plist modificado. Este archivo es parte de la estructura interna de las apps de macOS, y ellos lo usaron para establecer, de forma silenciosa, una conexión maliciosa con un dominio controlado por los atacantes. Desde ese dominio, se descargaba la segunda parte del malware.
Aunque no está claro si estas dos campañas están relacionadas, no sería raro. Es común que grupos distintos compartan información o técnicas sobre cómo atacar macOS de forma efectiva sin activar alarmas de seguridad.
