Campagna di malware vietnamita di OceanLotus che mira ai Mac
Una nuova versione di una backdoor precedentemente nota che prendeva di mira i computer Mac è stata individuata in natura dai ricercatori di sicurezza. Si pensa che il malware sia correlato all'attore di minacce vietnamita noto come OceanLotus.
TrendMicro ha pubblicato un rapporto sulla backdoor aggiornata. Come la maggior parte dei malware di questo tipo, la nuova backdoor consente ai malintenzionati che la gestiscono di curiosare nel sistema di destinazione ed esfiltrare informazioni, inclusi dati sensibili e di identificazione personale.
Il metodo di distribuzione utilizzato in questa particolare campagna è comune: e-mail di spam inviate con un allegato dannoso. Il file allegato è un falso file di Microsoft Word che è in realtà un file di archivio. Il payload è offuscato e riesce a evitare alcuni metodi di rilevamento utilizzando caratteri non standard nel nome del suo app bundle.
Il payload è in realtà multistadio, inclusi diversi payload che installano silenziosamente una backdoor sul sistema di destinazione. Una volta che la backdoor è stata completamente configurata, gli hacker che gestiscono il malware hanno accesso ai dati sul sistema e possono sia estrarre file dal sistema vittima, sia caricarvi malware aggiuntivo, il che rende la backdoor particolarmente pericolosa.
I ricercatori ritengono che la nuova versione del malware backdoor abbia legami con l'attore di minacce noto come OceanLotus, noto anche come APT32. Questa è la designazione alfanumerica di un gruppo di hacker che si pensa siano sponsorizzati dallo stato e operino dall'interno del Vietnam. Gli obiettivi primari di OceanLotus sono aziende e aziende di paesi stranieri che operano all'interno del Vietnam e l'obiettivo presunto è svolgere attività di spionaggio informatico.
La buona notizia è che il malware probabilmente non influenzerà la stragrande maggioranza degli utenti Mac, poiché sembra essere sviluppato per attacchi mirati di utenti e reti situate sul suolo vietnamita, quindi la popolazione più ampia è molto probabilmente al sicuro dal nuovo OceanLotus porta sul retro.