MacControl

网络安全分析家将MacControl归类为特洛伊木马后期威胁，该威胁专门针对Mac用户。如果MacControl成功地将其自身嵌入到用户的计算机中，它将为攻击者提供对受感染设备的广泛控制。

MacControl是通过有针对性的攻击活动交付的，该攻击活动看到了Mac用户中武器化的Word文档的传播。为了在该系统上立足，黑客利用了一个旧的Office for Mac漏洞。每当Microsoft Office Word尝试处理为专门包含格式错误的记录而创建的Word文档时，就会利用该漏洞。通过该漏洞，威胁参与者可以实现远程执行代码的特权。网络犯罪分子可以安装程序，操纵文件系统，创建具有完全用户权限的新帐户等。与拥有完全管理权限的用户相比，拥有有限权限的帐户的用户受到威胁的影响似乎较小。

MacControl攻击链

攻击的第一步是传递包含特洛伊木马Word文档作为附件的电子邮件。每当用户使用Office for Mac打开损坏的文档时，它都会触发将其自身复制到内存的初始损坏的有效负载。在攻击的第二阶段，将几个文件复制到磁盘上的/ tmp /文件夹中，然后执行损坏的脚本。

在下一阶段，第一个真正的恶意软件威胁被丢弃到受感染的系统上。这是以前使用位于纽约的命令与控制服务器检测到的威胁。攻击过程又向前迈进了一步，MacControl（以前未知的恶意软件创建程序）正是在这里被交付给计算机的。信息安全研究人员观察到了MacControl的几种不同版本，每种版本旨在用于不同的体系结构。

MacControl攻击表明与中国有联系

已经发现有力的证据表明，负责MacControl的犯罪分子被发现或与中国有联系。用来发起攻击的诱人的Word文件谈论了关于地区性的严重问题，其结构旨在以致联合国人权委员会的信的形式出现。主题是西藏起义周年纪念日。当研究人员发现MacControl的命令和控制基础结构也位于中国时，发现了另一个链接。