Gli utenti Apple sono a rischio di nuovi malware che prendono di mira macOS. Scoperto dai ricercatori Trend Micro, la campagna è collegata al gruppo di hacker OceanLotus, molto probabilmente associato al governo vietnamita.
Il gruppo di hacker prende di mira le organizzazioni straniere in Vietnam, come i media, ricerca, e la costruzione. Gli attacchi sono molto probabilmente eseguiti pensando al cyber-spionaggio, sebbene i ricercatori affermino che gli hacker’ i motivi sono oscuri.
Il nuovo malware è una backdoor per macOS che fornisce agli aggressori l'accesso per rubare informazioni riservate. Trend Micro ha collegato i risultati a OceanLotus a causa delle somiglianze nel codice del malware. Il codice è stato confrontato con campioni di campagne precedenti.
Di recente abbiamo scoperto una nuova backdoor che riteniamo essere correlata al gruppo OceanLotus. Alcuni degli aggiornamenti di questa nuova variante (rilevato da Trend Micro come Backdoor.MacOS.OCEANLOTUS.F) includere nuovi comportamenti e nomi di dominio. Al momento della scrittura, questo campione non viene ancora rilevato da altre soluzioni antimalware, l'azienda ha scritto nel loro rapporto.
Nuova backdoor per macOS collegata agli hacker OceanLotus
L'attacco inizia con un'e-mail di phishing che induce il bersaglio a eseguire un file Zip nascosto come un documento Word. Il file ignora il rilevamento AV utilizzando caratteri specifici nascosti in profondità all'interno di una serie di cartelle Zip. Ecco come lo spiega Trend Micro:
Un'altra tecnica che utilizza per eludere il rilevamento è l'aggiunta di caratteri speciali al nome del pacchetto dell'app. Quando un utente cerca la cartella dei documenti falsi tramite l'app Finder di macOS o la riga di comando del terminale, viene visualizzato il nome della cartella “TUTTI cercano Chi Ngoc Canada.doc” (“trova la casa della signora Ngoc” si traduce approssimativamente in “trova la signora. La casa di Ngoc”). Tuttavia, controllando il file Zip originale che contiene la cartella mostra 3 byte imprevisti tra “.” e “doc”.
macOS vede l'app bundle come un tipo di directory non supportato. Poiché l'azione predefinita è utilizzare il file “aperto” comando, l'app dannosa viene eseguita. “Altrimenti, se il suffisso è .doc senza caratteri speciali, Viene chiamato Microsoft Word per aprire l'app bundle come documento; ma poiché non è un documento valido, l'app non riesce ad aprirlo,” aggiungono i ricercatori.
È interessante notare che le nuove funzionalità backdoor di macOS sono simili a quelle del vecchio campione OceanLotus.
Nel mese di ottobre, i ricercatori di sicurezza hanno collegato un altro malware, noto come Kraken, agli hacker di OceanLotus. Perché l'URL di destinazione hardcoded del malware è stato rimosso mentre i ricercatori stavano facendo l'analisi, era quasi impossibile attribuire l'attacco a un particolare gruppo di minacce. Tuttavia, alcuni elementi dell'attacco del Kraken ricordano il gruppo vietnamita.
Il malware OceanLotus si è concentrato sull'infettare reti specifiche in campagne di attacco mirate. Il gruppo criminale conduce campagne contro le aziende e le agenzie governative in Asia: Laos, Cambogia, Vietnam, e le Filippine.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: