援引外媒报道,一支有国家背景的正利用现有 macOS 后门对越南地区的 Mac 用户发起攻击。根据趋势科技近日发布的一份最新报告,这款升级版恶意软件能让攻击者访问受感染的 Mac,并监控和窃取敏感信息。
图 1-2. OceanLotus样本(上)和最新OceanLotus样本(下)的比较
图 3. 样本文件名、图标和app bundle结构
图 4. "." 和 "doc"之间的特殊字符
图 5. 样本的代码签名信息
图 6. “ALL tim nha Chi Ngoc Canada” 文件内容
图 7. 执行文件后展示的文件
图 8. Plist文件 ~/Library/LaunchAgents/com.apple.marcoagent.voiceinstallerd.plist
图 9. 释放文件的时间戳
图 10. 加密的字符串
图 11-12. 解密方法
报告指出,该恶意软件以 ZIP 文件的形式进行传播,并伪装成 Word 文档,通过钓鱼电子邮件方式进行传播。目前,使用该恶意软件伪装的 ZIP 文件能够通过各种安全软件的检测。
一旦安装在计算机上,该恶意软件就会启动一系列有效负载,这些有效负载会更改访问权限并在系统上安装后门。该后门程序使攻击者可以侦听和下载用户文件,获取有关计算机的其他信息以及上载其他恶意软件。
趋势科技认为,该后门程序与一个名为 OceanLotus 或 APT32 的黑客组织有关,该组织被认为与越南政府有联系。 OceanLotus 以针对在越南工作的外国组织为目标而闻名,人们认为他们的目标是通过网络间谍活动来支持越南拥有的公司。
研究人员写道:“ OceanLotus等威胁组织正在积极更新恶意软件变种,以逃避检测并提高持久性”。由于该恶意软件似乎是为特定地理区域内的针对性间谍活动而设计的,因此它不太可能给大多数macOS用户带来很大的风险。