Nueva puerta trasera en MacOS conectada al grupo de amenazas OceanLotus
Una nueva puerta trasera que afecta el sistema operativo de Apple Mac ha sido descubierta por investigadores que afirman que hay un enlace al grupo de amenazas OceanLotus.
Según investigadores de Trend Micro, MacOS Backdoor es una muestra persistente y encriptada de malware utilizada para la vigilancia y la recopilación de datos.
En una publicación de blog el miércoles, la firma de ciberseguridad dijo que la puerta trasera, identificada como OSX_OCEANLOTUS.D, apunta a loa sistemas MacOS que tienen instalado el lenguaje de programación Perl.
La puerta trasera fue descubierta en un documento malicioso de Microsoft Windows Word que probablemente se haya distribuido por correo electrónico, posiblemente a través de campañas de spear y phishing.
El documento ha sido diseñado para aparecer en HDMC, una organización vietnamita que se estableció para promover la independencia nacional y la democracia.
Si una víctima potencial abre el documento, se le pide al usuario que habilite las macros, lo que activa la puerta trasera. El macros está ofuscado y el análisis ha demostrado que al ejecutar el archivo, se descargará a cuentagotas y también se baja un archivo .xml malicioso en las carpetas del sistema.
Trend Micro dice que la tarea del dropper es instalar la puerta trasera en el sistema MacOS y mantener la persistencia. Cada cadena se cifra con una clave RSA256 codificada.
El dropper es capaz de realizar si la víctima está iniciada o no como root, y simplemente ajustará las rutas del archivo de descarga dependiendo de la situación. Los archivos maliciosos que se descargan e instalan para permitir la persistencia asegurarán que el malware se cargue al inicio, incluida la puerta trasera, y sus atributos también estarán ocultos con una fecha y hora aleatorias para evitar la detección.
Una vez que se hayan completado sus tareas, el dropper se eliminará solo para no despertar sospechas.
La puerta trasera de MacOS tiene dos funciones principales. El proceso de infoClient recopila información relacionada con el sistema operativo, envía datos a los servidores de control de comando (C&C) del malware y también recibe instrucciones de los operadores del malware. La información enviada al servidor de C & C está codificada y encriptada, y está decodificada en el otro lado.
El segundo proceso, runHandle, es responsable de mantener la puerta trasera.
Trend Micro cree que la puerta trasera es obra de OceanLotus, también conocida como SeaLotus y Cobalt Kitty.
OceanLotus ha sido vinculado a ataques contra organizaciones de derechos humanos, organizaciones de medios de comunicación, institutos de investigación, empresas de construcción marítima y otros objetivos corporativos.
Según ESET, es probable que OceanLotus esté operando fuera de Asia y haya puesto su mira no solo en objetivos vietnamitas de alto perfil, sino también en grupos corporativos y gubernamentales con sede en Filipinas, Laos y Camboya.
Volexity ha trabajado con una serie de organizaciones de derechos humanos y de la sociedad civil en estas áreas, que parecen haber sido blanco de amenazas por parte de los actores desde 2015.