Apple-gebruikers lopen het risico dat nieuwe malware gericht is op macOS. Ontdekt door onderzoekers van Trend Micro, de campagne is verbonden met de hackgroep OceanLotus, waarschijnlijk geassocieerd met de Vietnamese regering.
De hackgroep richt zich op buitenlandse organisaties in Vietnam, zoals media, onderzoek, bouw. De aanvallen worden hoogstwaarschijnlijk uitgevoerd met het oog op cyberspionage, hoewel onderzoekers zeggen dat de hackers’ motieven zijn onduidelijk.
De nieuwe malware is een macOS-achterdeur die aanvallers toegang geeft tot het stelen van vertrouwelijke informatie. Trend Micro koppelde de bevindingen aan OceanLotus vanwege overeenkomsten in de code van de malware. De code is vergeleken met voorbeelden van eerdere campagnes.
We hebben onlangs een nieuwe achterdeur ontdekt waarvan we denken dat deze gerelateerd is aan de OceanLotus-groep. Enkele updates van deze nieuwe variant (gedetecteerd door Trend Micro als Backdoor.MacOS.OCEANLOTUS.F) omvatten nieuw gedrag en domeinnamen. Vanaf het schrijven, dit voorbeeld wordt nog steeds niet opgemerkt door andere antimalware-oplossingen, schreef het bedrijf in hun rapport.
Nieuwe macOS Backdoor gekoppeld aan OceanLotus Hackers
De aanval begint met een phishing-e-mail die het doelwit verleidt om een zip-bestand uit te voeren dat verborgen is als een Word-document. Het bestand omzeilt AV-detectie door gebruik te maken van specifieke tekens die diep in een reeks Zip-mappen zijn verborgen. Dit is hoe Trend Micro het uitlegt:
Een andere techniek die wordt gebruikt om detectie te omzeilen, is het toevoegen van speciale tekens aan de naam van de app-bundel. Wanneer een gebruiker de nepdoc-map zoekt via de macOS Finder-app of de terminalopdrachtregel, de naam van de map wordt weergegeven “ALLEN zoeken naar Chi Ngoc Canada.doc” (“zoek het huis van mevrouw Ngoc” vertaalt zich ruwweg naar “vind mevrouw. Ngoc's huis”). Echter, het controleren van het originele zip-bestand dat de map bevat shows 3 onverwachte bytes tussen “.” en “doc”.
macOS ziet de app-bundel als een niet-ondersteund maptype. Omdat de standaardactie het gebruik van de “Open” opdracht, de kwaadaardige app wordt uitgevoerd. “Anders, als de postfix .doc is zonder speciale tekens, Microsoft Word wordt aangeroepen om de app-bundel als document te openen; maar aangezien het geen geldig document is, de app kan deze niet openen,” voegen de onderzoekers toe.
Het is opmerkelijk dat de nieuwe macOS-backdoor-mogelijkheden vergelijkbaar zijn met die van het oude OceanLotus-voorbeeld.
In oktober, beveiligingsonderzoekers hebben een andere malware gekoppeld, bekend als Kraken, aan de OceanLotus-hackers. Omdat de hardgecodeerde doel-URL van de malware werd verwijderd terwijl de onderzoekers bezig waren met de analyse, het was bijna onmogelijk om de aanval toe te schrijven aan een bepaalde dreigingsgroep. Echter, sommige elementen van de Kraken-aanval doen denken aan de Vietnamese groep.
De OceanLotus-malware is gericht op het infecteren van specifieke netwerken in gerichte aanvalscampagnes. De criminele groep voert campagnes tegen bedrijven en overheidsinstanties in Azië: Laos, Cambodja, Vietnam, en de Filippijnen.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: