El grupo vietnamita OceanLotus ha evolucionado su troyano para Mac creando lo que los investigadores de Palo Alto Networks llaman “uno de los backdoors más avanzados que hemos visto en macOS hasta la fecha”. Esta nueva redención del malware ha añadido documentos señuelo, codificación de cadenas, modularidad, y un personalizado protocolo de tráfico con cifrado. Como en anteriores versiones, el malware está siendo usado principalmente en el propio Vietnam.
En un post publicado el jueves en el blog de la unidad 42 del equipo de inteligencia de Palo Alto se reportó que esta versión ha estado activa durante más de una año, pero fue liberada a partir del pasado mes de julio. Aprovechando los bajos niveles de detección de algunos antivirus, el backdoor se distribuye a través de documentos en formato Zip (normalmente a través de un email). Este archivo contiene un directorio con lo que aparenta ser un documento de Microsoft Word, pero en realidad es un bulto de aplicación que oculta al troyano. Esta es una notable diferencia respecto a otros malwares de MacOS, incluyendo a las anteriores versiones de OceanLotus backdoor, ya que la practica más común es suplantar un instalador de aplicaciones para programas como Adobe Flash.
Para disipar sospechas, esta nueva variante abre un documento señuelo, un truco que es mucho más común ver en los malware de Windows. Además la falta de líneas de comando y cadenas sospechosas ayudan a ocultar su malicioso propósito. Otra de las novedades de este malware es su protocolo binario personalizado para comunicarse con el servidor, estas comunicaciones se hacen a través de del puerto 443 vía TCP, un puerto que es normal que no sea bloqueado por los cortafuegos tradicionales debido a su uso en conexiones HTTP. En este mismo año los investigadores de FireEye/Mandiant han identificado como los promotores de diferentes campañas maliciosas al grupo OceanLotus, de hecho se puede afirmar con casi total seguridad que este grupo también ha estado detrás de la Operación Colbat Kitty, un sofisticado ataque de Spear Phishing cuyo objetivo era una compañía asiática.
En un post publicado el jueves en el blog de la unidad 42 del equipo de inteligencia de Palo Alto se reportó que esta versión ha estado activa durante más de una año, pero fue liberada a partir del pasado mes de julio. Aprovechando los bajos niveles de detección de algunos antivirus, el backdoor se distribuye a través de documentos en formato Zip (normalmente a través de un email). Este archivo contiene un directorio con lo que aparenta ser un documento de Microsoft Word, pero en realidad es un bulto de aplicación que oculta al troyano. Esta es una notable diferencia respecto a otros malwares de MacOS, incluyendo a las anteriores versiones de OceanLotus backdoor, ya que la practica más común es suplantar un instalador de aplicaciones para programas como Adobe Flash.
Figura 1: Esquema de funcionamiento de OceanLotus Malware. |
Para disipar sospechas, esta nueva variante abre un documento señuelo, un truco que es mucho más común ver en los malware de Windows. Además la falta de líneas de comando y cadenas sospechosas ayudan a ocultar su malicioso propósito. Otra de las novedades de este malware es su protocolo binario personalizado para comunicarse con el servidor, estas comunicaciones se hacen a través de del puerto 443 vía TCP, un puerto que es normal que no sea bloqueado por los cortafuegos tradicionales debido a su uso en conexiones HTTP. En este mismo año los investigadores de FireEye/Mandiant han identificado como los promotores de diferentes campañas maliciosas al grupo OceanLotus, de hecho se puede afirmar con casi total seguridad que este grupo también ha estado detrás de la Operación Colbat Kitty, un sofisticado ataque de Spear Phishing cuyo objetivo era una compañía asiática.
No hay comentarios:
Publicar un comentario