MacControl
MacControl jest klasyfikowany przez analityków cyberbezpieczeństwa jako późne zagrożenie trojańskie, które jest przeznaczone specjalnie dla użytkowników komputerów Mac. Jeśli MacControl zdoła pomyślnie osadzić się na komputerze użytkownika, zapewni atakującym szeroki poziom kontroli nad zaatakowanym urządzeniem.
MacControl został przeprowadzony w ramach ukierunkowanej kampanii ataku, w ramach której rozpowszechniono uzbrojone dokumenty słowne wśród użytkowników komputerów Mac. Aby zdobyć przyczółek w systemie, hakerzy wykorzystali lukę w starym pakiecie Office dla komputerów Mac. Exploit pojawia się za każdym razem, gdy Microsoft Office Word próbuje obsłużyć dokument Worda, który został utworzony w celu uwzględnienia zniekształconego rekordu. Dzięki tej luce osoba będąca zagrożeniem może uzyskać uprawnienia do zdalnego wykonywania kodu. Cyberprzestępcy mogą instalować programy, manipulować systemem plików, tworzyć nowe konta z pełnymi prawami użytkownika itp. Wydaje się, że użytkownicy z kontami z ograniczonymi uprawnieniami są mniej narażeni na zagrożenie w porównaniu z użytkownikami z pełnymi uprawnieniami administratora.
Łańcuch ataku MacControl
Pierwszym krokiem ataku jest dostarczenie wiadomości e-mail zawierającej dokument Trojanized Word jako załącznik. Za każdym razem, gdy użytkownik otworzy uszkodzony dokument w pakiecie Office dla komputerów Mac, wyzwala początkowy uszkodzony ładunek, który kopiuje się do pamięci. W drugim etapie ataku kilka plików jest kopiowanych do folderu / tmp / na dysku, a następnie wykonywany jest uszkodzony skrypt.
W kolejnym etapie na zainfekowany system zostaje zrzucone pierwsze prawdziwe zagrożenie złośliwym oprogramowaniem. Jest to zagrożenie wykryte wcześniej na serwerze Command-and-Control z siedzibą w Nowym Jorku. Atak zawiera jeszcze jeden krok i to w tym miejscu na komputer zostaje dostarczony nieznany wcześniej twór złośliwego oprogramowania MacControl. Badacze infosec zaobserwowali kilka różnych wersji MacControl, z których każda została zaprojektowana do pracy na innej architekturze.
Atak MacControl pokazuje powiązania z Chinami
Odkryto mocne dowody wskazujące na to, że przestępcy odpowiedzialni za MacControl znajdują się lub mają powiązania z Chinami. Wabiące dokumenty Word użyte do zainicjowania ataku mówią o przejmujących kwestiach regionalnych i mają formę listu skierowanego do Komisji Praw Człowieka ONZ. Tematem jest rocznica powstania Tybetańczyków przeciwko Chinom. Kolejne powiązanie odkryto, gdy naukowcy odkryli, że infrastruktura Command-and-Control dla MacControl również znajdowała się w Chinach.
