Les utilisateurs Apple risquent de voir de nouveaux logiciels malveillants ciblant macOS. Découvert par les chercheurs de Trend Micro, la campagne est connectée au groupe de piratage OceanLotus, le plus probablement associé au gouvernement vietnamien.
Le groupe de piratage cible les organisations étrangères au Vietnam, comme les médias, recherche, et la construction. Les attaques sont très probablement effectuées avec le cyberespionnage à l'esprit, bien que les chercheurs disent que les pirates’ les motifs sont obscurs.
Le nouveau malware est une porte dérobée macOS qui permet aux attaquants de voler des informations confidentielles. Trend Micro a lié les résultats à OceanLotus en raison de similitudes dans le code du malware. Le code a été comparé à des échantillons de campagnes précédentes.
Nous avons récemment découvert une nouvelle porte dérobée que nous pensons être liée au groupe OceanLotus. Certaines des mises à jour de cette nouvelle variante (détecté par Trend Micro comme Backdoor.MacOS.OCEANLOTUS.F) inclure de nouveaux comportements et noms de domaine. Au moment de la rédaction, cet échantillon n'est toujours pas détecté par d'autres solutions anti-programme malveillant, la société a écrit dans son rapport.
Nouvelle porte dérobée macOS liée aux pirates OceanLotus
L'attaque commence par un e-mail de phishing incitant la cible à exécuter un fichier Zip dissimulé sous forme de document Word. Le fichier contourne la détection AV en utilisant des caractères spécifiques cachés profondément dans une série de dossiers Zip. Voici comment Trend Micro l'explique:
Une autre technique qu'il utilise pour échapper à la détection consiste à ajouter des caractères spéciaux au nom de son ensemble d'applications.. Lorsqu'un utilisateur recherche le faux dossier doc via l'application macOS Finder ou la ligne de commande du terminal, le nom du dossier s'affiche “TOUS recherchent Chi Ngoc Canada.doc” (“trouver la maison de Mme Ngoc” se traduit approximativement par “trouver Mme. Maison de Ngoc”). Cependant, vérifier le fichier Zip d'origine qui contient le dossier montre 3 octets inattendus entre “.” et “doc”.
macOS voit le bundle d'applications comme un type de répertoire non pris en charge. Puisque l'action par défaut est d'utiliser le “Ouvert” commander, l'application malveillante est exécutée. “Autrement, si le suffixe est .doc sans caractères spéciaux, Microsoft Word est appelé pour ouvrir le bundle d'applications en tant que document; mais comme ce n'est pas un document valide, l'application ne parvient pas à l'ouvrir,” les chercheurs ajoutent.
Il est à noter que les nouvelles fonctionnalités de la porte dérobée macOS sont similaires à celles de l'ancien exemple OceanLotus.
En Octobre, les chercheurs en sécurité ont lié un autre malware, connu sous le nom de Kraken, aux hackers d'OceanLotus. Parce que l'URL cible codée en dur du malware a été supprimée pendant que les chercheurs effectuaient l'analyse, il était presque impossible d'attribuer l'attaque à un groupe de menaces particulier. Cependant, certains éléments de l'attaque de Kraken rappellent le groupe vietnamien.
Le malware OceanLotus s'est concentré sur l'infection de réseaux spécifiques dans des campagnes d'attaque ciblée. Le groupe criminel mène des campagnes contre les entreprises et les agences gouvernementales en Asie: Laos, Cambodge, Viêt-Nam, et les Philippines.