Apple-brugere risikerer ny malware, der er målrettet mod macOS. Opdaget af Trend Micro forskere, kampagnen er forbundet med OceanLotus hacking-gruppen, sandsynligvis forbundet med den vietnamesiske regering.
Hacking-gruppen er målrettet mod udenlandske organisationer i Vietnam, såsom medier, forskning, og konstruktion. Angrebene udføres højst sandsynligt med tanke på cyberspionage, selvom forskere siger, at hackerne’ motiver er uklare.
Den nye malware er en macOS bagdør, der giver angribere adgang til at stjæle fortrolige oplysninger. Trend Micro forbandt resultaterne med OceanLotus på grund af ligheder i malware-koden. Koden blev sammenlignet med eksempler på tidligere kampagner.
Vi opdagede for nylig en ny bagdør, som vi mener er relateret til OceanLotus-gruppen. Nogle af opdateringerne til denne nye variant (opdaget af Trend Micro som Backdoor.MacOS.OCEANLOTUS.F) inkluderer ny adfærd og domænenavne. I skrivende stund, denne prøve er stadig uopdaget af andre antimalwareløsninger, skrev virksomheden i deres rapport.
Ny macOS bagdør knyttet til OceanLotus hackere
Angrebet starter med en phishing-mail, der narrer målet til at køre en zip-fil, der er skjult som et Word-dokument. Filen omgår AV-detektion ved at bruge bestemte tegn skjult dybt inde i en række zip-mapper. Sådan forklarer Trend Micro det:
En anden teknik, den bruger til at undgå afsløring, er at tilføje specialtegn til dets app-bundtnavn. Når en bruger leder efter den falske doc-mappe via macOS Finder-appen eller terminalkommandolinjen, mappenavnet viser “ALLE kigger efter Chi Ngoc Canada.doc” (“find fru Ngocs hus” groft oversættes til “find fru. Ngocs hus”). Men, kontrollere den originale zip-fil, der indeholder mappen vises 3 uventede bytes mellem “.” og “doc”.
macOS ser app-pakken som en ikke-understøttet bibliotektype. Da standardhandlingen er at bruge “åben” kommando, den ondsindede app udføres. “Ellers, hvis postfixet er .doc uden specialtegn, Microsoft Word kaldes for at åbne app-pakken som et dokument; men da det ikke er et gyldigt dokument, appen kan ikke åbne den,” tilføjer forskerne.
Det er bemærkelsesværdigt, at de nye macOS-bagdørsfunktioner svarer til dem i den gamle OceanLotus-prøve.
I oktober, sikkerhedsforskere forbandt en anden malware, kendt som Kraken, til OceanLotus-hackerne. Fordi den hårdkodede mål-URL til malware blev fjernet, mens forskerne foretog analysen, det var næsten umuligt at tilskrive angrebet til en bestemt trusselgruppe. Men, nogle elementer i Kraken-angrebet minder om den vietnamesiske gruppe.
OceanLotus-malware har været fokuseret på at inficere specifikke netværk i målrettede angrebskampagner. Den kriminelle gruppe gennemfører kampagner mod virksomhedsvirksomheder og offentlige agenturer i Asien: Laos, Cambodja, Vietnam, og Filippinerne.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: