MacControl
O MacControl é classificado pelos analistas de segurança cibernética como a ameaça de um Trojan em estágio avançado, projetada para visar especificamente os usuários do Mac. Se o MacControl conseguir se incorporar ao computador do usuário com êxito, ele fornecerá aos invasores um amplo nível de controle sobre o dispositivo comprometido.
O MacControl foi distribuído por meio de uma campanha de ataque direcionado que viu a disseminação de documentos do Word como arma entre os usuários de Mac. Para ganhar uma posição no sistema, os hackers exploraram uma antiga vulnerabilidade do Office para Mac. A exploração surge sempre que o Microsoft Office Word tenta manipular um documento do Word que foi criado para incluir um registro malformado especificamente. Por meio da vulnerabilidade, o autor da ameaça pode obter privilégios de execução remota de código. Os cibercriminosos podem instalar programas, manipular o sistema de arquivos, criar novas contas com direitos totais de usuário, etc. Parece que os usuários com contas que possuem direitos limitados são menos afetados pela ameaça, em comparação com usuários com direitos administrativos totais.
A Cadeia de Ataque do MacControl
A primeira etapa do ataque é a entrega do e-mail contendo o documento do Word Trojanizado como um anexo. Sempre que o usuário abre o documento corrompido com o Office para Mac, ele dispara a carga inicial corrompida que se copia para a memória. No segundo estágio do ataque, vários arquivos são copiados para a pasta/tmp/no disco e, em seguida, um script corrompido é executado.
Durante o próximo estágio, a primeira ameaça real de malware é lançada no sistema infectado. É uma ameaça detectada anteriormente com um servidor de comando e controle com base em Nova York. O ataque contém mais uma etapa e é aqui que o MacControl, criação de malware até então desconhecida, é entregue ao computador. Diversas versões diferentes do MacControl foram observadas por pesquisadores de infosec, cada uma projetada para funcionar em uma arquitetura diferente.
O Ataque do MacControl Mostra Laços com a China
Fortes evidências foram descobertas apontando para os criminosos responsáveis pelo MacControl serem localizados ou terem ligações com a China. Os documentos Word corrompidos usados para iniciar o ataque falam sobre questões regionais pungentes e são estruturados para aparecer como uma carta endereçada à Comissão de Direitos Humanos das Nações Unidas. O assunto é o aniversário do levante tibetano contra a China. Outro link foi descoberto quando os pesquisadores descobriram que a infraestrutura de comando e controle do MacControl também estava localizada na China.
