Novo malware RustyAttr tem como alvo o macOS

Uma nova ameaça cibernética preocupa usuários de macOS. O Lazarus Group, grupo de hackers vinculado à Coreia do Norte, está usando uma técnica inovadora para propagar um malware chamado RustyAttr em dispositivos macOS. A empresa de segurança cibernética de Cingapura, Group-IB, descobriu a ameaça e identificou uma série de semelhanças entre essa campanha e ataques anteriores, como o RustBucket.

Como Funciona a Nova Ameaça?

O RustyAttr utiliza uma técnica que abusa dos atributos estendidos de arquivos no macOS, aproveitando-se desses metadados adicionais, que geralmente contêm informações sobre permissões e propriedades dos arquivos. O malware é ativado através do comando xattr, permitindo que o conteúdo armazenado nesses atributos seja executado sem o conhecimento do usuário.

Os agentes de ameaça construíram os arquivos maliciosos usando a estrutura Tauri para aplicativos multiplataforma e os assinaram com um certificado de desenvolvedor comprometido – uma assinatura que a Apple já revogou, mas que ainda oferece uma camada inicial de disfarce. Ao executar o malware, o usuário vê uma mensagem de erro ou um documento PDF aparentemente inofensivo, servindo como distração.

Técnica de Distração com Chamariz

Além de acessar atributos estendidos, o malware inclui um script de chamariz, que apresenta ao usuário uma mensagem de erro “Este aplicativo não suporta esta versão” ou um PDF falso relacionado ao financiamento de projetos de jogos. Isso cria uma distração enquanto o malware extrai e executa conteúdo potencialmente prejudicial no dispositivo, utilizando um back-end Rust para carregar scripts maliciosos.

O Papel do Gatekeeper na Proteção dos Usuários de macOS

Apesar da ameaça representada pelo RustyAttr, sistemas macOS possuem uma proteção chamada Gatekeeper, que impede a execução de aplicativos não confiáveis. No entanto, para que o malware funcione, o usuário precisaria desativar essa proteção, o que significa que a técnica depende de um certo nível de engenharia social para convencer as vítimas a liberar o acesso. A pesquisadora Sharmine Low, do Group-IB, enfatiza a importância do Gatekeeper para evitar que o malware comprometa o sistema.

Qual o Objetivo Final do Lazarus Group?

Embora o objetivo específico do RustyAttr ainda não esteja claro, especialistas acreditam que essa campanha faz parte de uma estratégia mais ampla. Sobretudo, agentes norte-coreanos estão conduzindo campanhas de recrutamento enganosas para atingir funcionários de empresas de criptomoedas e tecnologia, levando-os a baixar malwares sob o disfarce de entrevistas técnicas. O Lazarus Group tem um histórico de ataques voltados para ganho financeiro e espionagem, o que reforça a importância da segurança no ambiente digital atual.

Como Proteger-se do Malware RustyAttr

Contudo, usuários de macOS podem se proteger mantendo o Gatekeeper ativado e evitando o download de aplicativos de fontes desconhecidas ou não confiáveis. A verificação de permissões e atributos de arquivos suspeitos com o comando xattr também é recomendada para detectar qualquer metadado incomum. Além disso, é essencial manter o sistema operacional atualizado e ter uma solução antivírus confiável instalada.

A campanha do RustyAttr evidencia como os cibercriminosos estão inovando nas suas estratégias para alcançar novas vítimas. A técnica de usar atributos estendidos para infiltrar malware em macOS demonstra o nível avançado das operações do Lazarus Group, e reforça a importância de medidas preventivas de segurança. Afinal, com a popularidade crescente do macOS, proteger-se contra esses ataques se torna essencial para evitar danos financeiros e roubo de informações sensíveis.