MacControl

MacControl klassificeras av cybersäkerhetsanalytiker som ett Trojan-hot i sen fas som är utformat för att riktas specifikt till Mac-användare. Om MacControl lyckas bädda in sig själv på användarens dator framgångsrikt skulle det ge angriparna en bred kontroll över den komprometterade enheten.

MacControl levererades genom en riktad attackkampanj som såg spridning av vapeniserade orddokument bland Mac-användare. För att få fotfäste på systemet utnyttjade hackarna ett gammalt Office for Mac-sårbarhet. Utnyttjandet uppstår när Microsoft Office Word försöker hantera ett Word-dokument som skapades för att inkludera en felaktig post specifikt. Genom sårbarheten kan hotaktören uppnå behörighet för fjärrkörning av kod. Cyberkriminella kan installera program, manipulera filsystemet, skapa nya konton med fullständiga användarrättigheter etc. Det verkar som att användare med konton som har begränsade rättigheter påverkas mindre av hotet jämfört med användare med fullständiga administrativa rättigheter.

MacControl Attack Chain

Det första steget i attacken är leveransen av e-postmeddelandet som innehåller det Trojaniserade Word-dokumentet som en bilaga. När användaren öppnar det skadade dokumentet med Office för Mac, utlöser det den initiala skadade nyttolasten som kopieras till minnet. I det andra steget av attacken kopieras flera filer till mappen / tmp / på disken och sedan körs ett skadat skript.

Under nästa steg tappas det första riktiga skadliga hotet mot det infekterade systemet. Det är ett tidigare upptäckt hot med en Command-and-Control-server baserad i New York. Attacken innehåller ytterligare ett steg och det är här som MacControl, tidigare okänd skapande av skadlig kod, levereras till datorn. Flera olika versioner av MacControl har observerats av infosec-forskare, var och en utformad för att arbeta med en annan arkitektur.

MacControl Attack visar band till Kina

Starka bevis har avslöjats som pekar mot de brottslingar som är ansvariga för att MacControl finns eller har band till Kina. De lockande Word-dokument som används för att inleda attacken talar om gripande regionala frågor och är strukturerade för att visas som ett brev riktat till FN: s mänskliga rättighetskommission. Ämnet är årsdagen för det tibetanska upproret mot Kina. En annan länk upptäcktes när forskare fick reda på att Command-and-Control-infrastrukturen för MacControl också var baserad i Kina.