La percepción acerca de los dispositivos Apple es que están protegidos de ataques por defecto, lo que no es cierto. Los investigadores de seguridad de la información de Trend Micro descubrieron un nuevo malware que creen que está asociado con OceanLotus, también conocido como SeaLotus, Cobalt Kitty, APT 32 y APT-C-00. El grupo OceanLotus es muy conocido por su objetivo de empresas de construcción marítima, institutos de investigación, medios de comunicación y organizaciones de derechos humanos.
Detectado como OSX_OCEANLOTUS.D, el malware apunta a dispositivos Mac que tienen el lenguaje de programación Perl instalado en el sistema y se está entregando a través de correos electrónicos de phishing adjuntados con un documento de Microsoft Word.
Una vez que los expertos en seguridad de la información analizaron el documento, señalaron que su contenido invita a los usuarios a registrarse en un evento organizado por HDMC, una organización vietnamita que anuncia la independencia nacional y la democracia.
El documento contiene macros maliciosas. El correo electrónico recomienda a las víctimas que habiliten las macros para leer el correo electrónico y, una vez hecho, las macros ofuscadas extraen un archivo .XML del documento de Word que en realidad es un archivo ejecutable y funciona como el cuentagotas de la puerta trasera, que es la carga final.
Además, todas las cadenas dentro del cuentagotas, incluida la puerta trasera, se cifran utilizando una clave RSA256 codificada. El cuentagotas comprueba si se ejecuta como root o no y, en función de eso, selecciona dónde debe instalarse.
“Cuando el cuentagotas instala la puerta trasera, establece sus atributos en” ocultos “y establece la fecha y la hora del archivo en valores aleatorios”, señalaron los investigadores de seguridad de la información. “El cuentagotas se eliminará solo al final del proceso”.
La puerta trasera depende de dos funciones, incluidas runHandle e infoClient. La función runHandle es responsable de las capacidades de la puerta trasera, mientras que infoClient recopila la información de la plataforma y la envía al servidor de comando y control (C & C).
“Los ataques maliciosos dirigidos a dispositivos Mac no son tan comunes como sus contrapartes, pero el descubrimiento de este nuevo backdoor macOS presuntamente distribuido a través de llamadas de phishing para que cada usuario adopte las mejores prácticas para ataques de phishing independientemente del sistema operativo”, concluyó.
Ahora no está claro cuántas víctimas ha encontrado este nuevo malware o si se ha extendido fuera de Vietnam; Los profesionales de la seguridad de la información dijeron que los usuarios de macOS deben permanecer atentos y abstenerse de hacer clic en enlaces o descargar archivos de correos electrónicos desconocidos. Además, utilice un software antimalware, escanee su dispositivo a diario y mantenga actualizado su sistema operativo.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
