O Grupo OceanLotus APT Ataca os Sistemas MacOS com uma Ameaça de Backdoor Atualizada
Em novembro de 2020, os pesquisadores de malware detectaram um novo backdoor voltado para os dispositivos macOS. Compilada três cargas úteis de vários estágios e equipada com técnicas inovadoras de anti-detecção, essa nova ameaça provavelmente vem do já conhecido grupo de Ameaça Persistente Avançada (APT) apoiado pelo Vietnã, chamado OceanLotus. Entre janeiro e abril de 2020, o OceanLotus atacou o Ministério de Gestão de Emergências da China e o governo da província de Wuhan, aparentemente em uma tentativa de roubar informações sobre a resposta do país ao COVID-19. Novamente em 2020, algumas campanhas de espionagem cibernética contra usuários do Android na Ásia também foram atribuídas ao mesmo grupo APT.
Também chamado de APT32, o OceanLotus existe pelo menos desde 2013 e está relacionado a vários ataques importantes contra organizações dos setores de mídia, pesquisa e construção. Ao contrário das variantes mais antigas do OceanLotus backdoor de 2018, as versões mais recentes foram atualizadas com alguns novos padrões de comportamento, técnicas para evitar a detecção e mecanismos para garantir a persistência.
Os Alvos do OceanLotus não estão Totalmente em Foco
Nenhum alvo específico foi identificado para os ataques mais recentes do OceanLotus ainda; no entanto, os hackers parecem estar visando o mercado vietnamita por causa do uso do idioma vietnamita em alguns dos arquivos do malware. O vetor inicial exato da infecção também não está claro. Devido à aparência da carga útil de primeiro estágio que se assemelha a um documento do Word, os pesquisadores supõem que poderia ser por meio de e-mails de phishing, embora o OceanLotus APT também tenha usado sites corrompidos e aplicativos comprometidos do Google Play para espalhar outras ameaças de malware.
Pesquisas mostram que os invasores empacotaram o backdoor em um aplicativo disfarçado como um documento do Microsoft Word usando o ícone do Word. Este aplicativo está agrupado em um arquivo .zip, em que o pacote contém duas cargas úteis - os scripts de shell com os principais processos corrompidos e o arquivo 'Word' falso exibido durante a execução. O nome do pacote consiste em caracteres especiais - três bytes ('efb880 ") em codificação UTF-8 para evitar a detecção. Mais tarde, o documento do Word falso pode ser encontrado em uma pasta chamada' ALL tim nha Chi Ngoc Canada.doc ', que traduzido aproximadamente do vietnamita significa 'encontre a casa da Sra. Ngoc'.
Verificar o arquivo .zip original com a pasta, entretanto, mostra que ele contém três caracteres de controle Unicode especiais entre '.' e 'doc.' Isso faz com que o pacote de aplicativos pareça um arquivo do Word 'normal' para o usuário, mas o sistema operacional o reconhece como um tipo de diretório sem suporte. Como resultado, o comando padrão 'Abrir' realmente executa a carga prejudicial. Depois de concluído, o aplicativo descarta a carga útil do segundo estágio como 'ALL tim nha Chi Ngoc Canadá.?doc/Contents/Resources/configureDefault.def' que, por sua vez, executa a carga útil do terceiro estágio e então se exclui.
A carga útil do terceiro estágio tem as principais funcionalidades do backdoor, como coletar informações sobre o sistema operacional (incluindo informações de processo e memória, endereços MAC de interface de rede, número de série) e criptografar e transmitir os dados para os servidores de comando e controle dos hackers. Ele também recebe comandos adicionais dos servidores. O novo OceanLotus Backdoor também suporta outros comandos - baixar e executar arquivos, remover arquivos, executar comandos no terminal e obter informações de configuração.
Devido aos seus supostos canais de distribuição, como campanhas de e-mail de spam, aplicativos ameaçadores e sites comprometidos, os usuários do macOS nunca devem clicar em links suspeitos ou abrir anexos de remetentes desconhecidos para evitar ataques OceanLotus. Os aplicativos também devem ser baixados apenas do site oficial do desenvolvedor e de outras fontes confiáveis.