Vietnamesisk kampanj med skadlig programvara från OceanLotus Targeting Macs

En ny version av en tidigare känd bakdörr inriktad på Mac-datorer har upptäckts i naturen av säkerhetsforskare. Skadlig programvara antas vara relaterad till den vietnamesiska hotaktören känd som OceanLotus.

TrendMicro publicerade en rapport om den uppdaterade bakdörren. Liksom de flesta skadliga program av detta slag tillåter den nya bakdörren att de dåliga aktörerna som använder den kan snoka runt målsystemet och exfiltrera information, inklusive personligt identifierbara och känsliga data.

Distributionsmetoden som används i just den här kampanjen är vanlig - skräppostmeddelanden skickas ut med en skadlig bilaga. Den bifogade filen är en falsk Microsoft Word-fil som verkligen är en arkivfil. Nyttolasten är förvirrad och lyckas undvika vissa detekteringsmetoder genom att använda icke-standardtecken i namnet på dess appbunt.

Nyttolasten är faktiskt en flerstegs, inklusive flera nyttolaster som tyst installerar en bakdörr på målsystemet. När bakdörren har ställts in har hackarna som hanterar skadlig programvara tillgång till data om systemet och kan både exfiltrera filer från offretsystemet och ladda upp ytterligare skadlig programvara till det, vilket gör bakdörren särskilt farlig.

Forskare tror att den nya versionen av bakdörren skadlig kod har kopplingar till hotaktören känd som OceanLotus, även känd som APT32. Detta är den alfanumeriska beteckningen för en grupp hackare som anses vara statssponserade och verkar inifrån Vietnam. De primära målen för OceanLotus är företag och företag från utländska länder som verkar i Vietnam, och det förmodade målet är att utföra cyberspionage.

Den goda nyheten är att skadlig programvara antagligen inte kommer att påverka den överväldigande delen av Mac-användare, eftersom det verkar vara utvecklat för riktade attacker från användare och nätverk på vietnamesisk mark, så den större befolkningen är mycket sannolikt säker från nya OceanLotus bakdörr.