MacControl

網絡安全分析家將MacControl歸類為特洛伊木馬後期威脅，該威脅專門針對Mac用戶。如果MacControl成功地將其自身嵌入到用戶的計算機中，它將為攻擊者提供對受感染設備的廣泛控制。

MacControl是通過有針對性的攻擊活動交付的，該攻擊活動看到了Mac用戶中武器化的Word文檔的傳播。為了在該系統上立足，黑客利用了一個舊的Office for Mac漏洞。每當Microsoft Office Word嘗試處理為專門包含格式錯誤的記錄而創建的Word文檔時，就會利用該漏洞。通過該漏洞，威脅參與者可以實現遠程執行代碼的特權。網絡犯罪分子可以安裝程序，操縱文件系統，創建具有完全用戶權限的新帳戶等。與擁有完全管理權限的用戶相比，擁有有限權限的帳戶的用戶受到威脅的影響似乎較小。

MacControl攻擊鏈

攻擊的第一步是傳遞包含特洛伊木馬Word文檔作為附件的電子郵件。每當用戶使用Office for Mac打開損壞的文檔時，它都會觸發將其自身複製到內存的初始損壞的有效負載。在攻擊的第二階段，將幾個文件複製到磁盤上的/ tmp /文件夾中，然後執行損壞的腳本。

在下一階段，第一個真正的惡意軟件威脅被丟棄到受感染的系統上。這是以前使用位於紐約的命令與控制服務器檢測到的威脅。攻擊過程又向前邁進了一步，MacControl（以前未知的惡意軟件創建程序）正是在這裡被交付給計算機的。信息安全研究人員觀察到了MacControl的幾種不同版本，每種版本旨在用於不同的體系結構。

MacControl攻擊表明與中國有聯繫

已經發現有力的證據表明，負責MacControl的犯罪分子被發現或與中國有聯繫。用來發起攻擊的誘人的Word文件談論了關於地區性的嚴重問題，其結構旨在作為給聯合國人權委員會的一封信出現。主題是西藏起義週年紀念日。當研究人員發現MacControl的命令和控制基礎結構也位於中國時，發現了另一個鏈接。