Campanha de malware vietnamita da OceanLotus direcionada a Macs
Uma nova versão de um backdoor anteriormente conhecido voltado para computadores Mac foi avistada por pesquisadores de segurança. Acredita-se que o malware esteja relacionado ao ator de ameaça vietnamita conhecido como OceanLotus.
TrendMicro publicou um relatório sobre o backdoor atualizado. Como a maioria dos malwares desse tipo, o novo backdoor permite que os malfeitores que o operam bisbilhotem o sistema de destino e exfiltrem informações, incluindo dados confidenciais e de identificação pessoal.
O método de distribuição usado nesta campanha em particular é comum - e-mails de spam enviados com um anexo malicioso. O arquivo anexado é um arquivo Microsoft Word falso que, na verdade, é um arquivo compactado. A carga útil é ofuscada e consegue evitar alguns métodos de detecção usando caracteres não padrão no nome de seu pacote de aplicativos.
A carga útil é, na verdade, de vários estágios, incluindo várias cargas que instalam silenciosamente uma porta dos fundos no sistema de destino. Depois que o backdoor estiver totalmente configurado, os hackers que operam o malware têm acesso aos dados sobre o sistema e podem exfiltrar arquivos do sistema da vítima, bem como carregar malware adicional para ele, o que torna o backdoor especialmente perigoso.
Os pesquisadores acreditam que a nova versão do malware backdoor está ligada ao agente de ameaças conhecido como OceanLotus, também conhecido como APT32. Esta é a designação alfanumérica de um grupo de hackers que se acredita serem patrocinados pelo Estado e operando dentro do Vietnã. Os alvos principais da OceanLotus são empresas e negócios de países estrangeiros que operam dentro do Vietnã, e o suposto objetivo é realizar espionagem cibernética.
A boa notícia é que o malware provavelmente não afetará a esmagadora maioria dos usuários de Mac, já que parece ter sido desenvolvido para ataques direcionados a usuários e redes localizadas em solo vietnamita, de modo que a população em geral está muito provavelmente protegida do novo OceanLotus Porta dos fundos.