Os usuários da Apple correm o risco de novos malwares direcionados ao macOS. Descoberto por pesquisadores da Trend Micro, a campanha está conectada ao grupo de hackers OceanLotus, provavelmente associado ao governo vietnamita.
O grupo de hackers tem como alvo organizações estrangeiras no Vietnã, como mídia, pesquisa, e construção. Os ataques são provavelmente realizados com a espionagem cibernética em mente, embora os pesquisadores digam que os hackers’ motivos são obscuros.
O novo malware é um backdoor do macOS que fornece aos invasores acesso para roubar informações confidenciais. A Trend Micro vinculou as descobertas ao OceanLotus devido a semelhanças no código do malware. O código foi comparado a amostras de campanhas anteriores.
Recentemente, descobrimos uma nova porta dos fundos que acreditamos estar relacionada ao grupo OceanLotus. Algumas das atualizações desta nova variante (detectado pela Trend Micro como Backdoor.MacOS.OCEANLOTUS.F) incluir novos comportamentos e nomes de domínio. No momento da escrita, esta amostra ainda não foi detectada por outras soluções antimalware, a empresa escreveu em seu relatório.
Novo backdoor do macOS vinculado a hackers OceanLotus
O ataque começa com um e-mail de phishing enganando o alvo para executar um arquivo Zip oculto como um documento do Word. O arquivo ignora a detecção de AV, utilizando caracteres específicos escondidos em uma série de pastas Zip. É assim que a Trend Micro explica:
Outra técnica que usa para evitar a detecção é adicionar caracteres especiais ao nome do pacote de aplicativos. Quando um usuário procura a pasta de documentos falsos por meio do aplicativo macOS Finder ou da linha de comando do terminal, o nome da pasta mostra “TODOS procuram Chi Ngoc Canadá.doc” (“encontrar a casa da Sra. Ngoc” se traduz aproximadamente para “encontrar Sra. Casa de Ngoc”). Contudo, verificar o arquivo Zip original que contém a pasta mostra 3 bytes inesperados entre “.” e “doutor”.
O macOS vê o pacote de aplicativos como um tipo de diretório sem suporte. Uma vez que a ação padrão é usar o “abrir” comando, o aplicativo malicioso é executado. “De outra forma, se o postfix for .doc sem caracteres especiais, O Microsoft Word é chamado para abrir o pacote de aplicativos como um documento; mas como não é um documento válido, o aplicativo não consegue abri-lo,” os pesquisadores acrescentam.
É digno de nota que os novos recursos de backdoor do macOS são semelhantes aos do antigo exemplo OceanLotus.
Em outubro, pesquisadores de segurança vincularam outro malware, conhecido como Kraken, para os hackers OceanLotus. Porque o URL de destino codificado do malware foi removido enquanto os pesquisadores faziam a análise, era quase impossível atribuir o ataque a um determinado grupo de ameaças. Contudo, alguns elementos do ataque Kraken são uma reminiscência do grupo vietnamita.
O malware OceanLotus tem se concentrado em infectar redes específicas em campanhas de ataque direcionado. O grupo criminoso realiza campanhas contra empresas e agências governamentais na Ásia: Laos, Camboja, Vietnã, e as filipinas.