MacOS est ciblé par une porte dérobée d’OceanLotus

Une variante de porte dérobée de MacOS a été découverte. Elle repose sur des charges utiles à plusieurs étages et diverses techniques anti-détection mises à jour. Les chercheurs l’ont associé au groupe de menace persistante avancée OceanLotus (APT).

OceanLotus (également connu sous le nom d’APT 32), soutenu par le Vietnam, existe depuis au moins 2013 et a déjà lancé des attaques ciblées contre des entreprises de médias, de recherche et de construction. Les chercheurs ont déclaré que dans ce cas, les attaquants derrière la variante de ce malware de macOS semblent frapper des utilisateurs vietnamiens, car le nom du document de leurre de la campagne est en vietnamien. Des échantillons plus anciens de la porte dérobée ont déjà ciblé la même région, selon des chercheurs de Trend Micro.

«Certaines des mises à jour de cette nouvelle variante incluent de nouveaux comportements et noms de domaine», ont déclaré les chercheurs Luis Magisa et Steven Du. «Des groupes de menaces tels qu’OceanLotus mettent activement à jour les variantes de logiciels malveillants dans le but d’échapper à la détection et d’améliorer la persistance.»

trickbot

Le vecteur d’attaque initial (comme les e-mails d’hameçonnage ou autre) derrière le malware n’est pas clair. Les chercheurs ont déclaré que, parce que le fichier initial est un document, ils supposent qu’il provient d’un courrier électronique. Cependant, le groupe APT OceanLotus utilisent des sites Web malveillants ainsi que des applications Google Play pour propager d’autres logiciels malveillants. Les chercheurs n’ont actuellement aucune connaissance des cibles de la campagne.

Le malware est emballé dans une application qui se trouve elle-même dans une archive .zip. L’application tente de se faire passer pour un document Microsoft Word (en utilisant l’icône Word). L’ensemble d’applications contient deux fichiers notables: le script shell contenant les principaux processus malveillants et le fichier «Word» affiché lors de l’exécution.

Dans une autre tentative pour contourner la détection de maOS, le nom de l’ensemble d’applications utilise des caractères spéciaux – trois octets (« efb880 ») qui sont en codage UTF-8.

«Lorsqu’un utilisateur recherche le faux dossier doc via l’application macOS Finder ou la ligne de commande du terminal, le nom du dossier indique ‘ALL tim nha Chi Ngoc Canada.doc’ (‘tìm nhà Chị Ngọc’ se traduit approximativement par ‘trouver la maison de Mme Ngoc’) », ont déclaré des chercheurs dans une analyse. « Cependant, la vérification du fichier .zip d’origine qui contient le dossier montre trois octets inattendus entre ‘.’ et ‘doc’. »

Ces octets sont des caractères de contrôle Unicode spéciaux qui ne modifient pas l’aspect visuel du fichier. Cependant, alors que le fichier ressemble visuellement à un fichier normal, le système d’exploitation voit l’ensemble d’applications comme un type de répertoire non pris en charge en raison de ces caractères spéciaux. Par conséquent, comme action par défaut, la commande «ouvrir» est utilisée pour exécuter l’application malveillante, ont déclaré les chercheurs.

Une fois l’application exécutée, le malware lance une charge utile de deuxième étape (ALL tim nha Chi Ngoc Canada.?doc/Contents/Resources/configureDefault.def), qui à son tour dépose une charge utile de troisième étape avant de se supprimer.

La charge utile de troisième étape utilise un chiffrement personnalisé, avec un codage en base64 et une manipulation d’octets. Cette charge utile a des capacités pour collecter des informations sur le système d’exploitation et soumettre les données à ses serveurs de commande et de contrôle (C2), ainsi que de recevoir des informations de communication C2 supplémentaires.

Ses fonctionnalités de porte dérobée incluent la possibilité d’obtenir des informations sur le processeur et la mémoire, d’obtenir le numéro de série et d’obtenir les adresses MAC de l’interface réseau. Toutes ces informations sont chiffrées et envoyées au serveur C2. D’autres commandes prises en charge incluent: obtenir la taille du fichier, télécharger et exécuter des fichiers, exécuter des commandes dans le terminal, télécharger et supprimer des fichiers, et obtenir des informations de configuration.

macOS

Les chercheurs ont déclaré que cette variante de logiciel malveillant présentait des similitudes avec une autre porte dérobée du groupe OceanLotus découverte en 2018, notamment des commandes prises en charge identiques et leurs codes respectifs utilisés dans les deux variantes.

«Les TTP et une partie de leur logique fonctionnelle critique sont très similaires aux précédents logiciels malveillants d’Oceanlotus, ce qui nous a amenés à croire qu’il appartient à Oceanlotus», ont déclaré les chercheurs.

OceanLotus n’attaque pas que macOS

OceanLotus a déjà utilisé d’autres tactiques d’évasion de détection, y compris la stéganographie et l’injection de logiciels malveillants dans le service Windows Error Reporting (WER) pour échapper à la détection. Du moins de Janvier à Avril, les chercheurs ont vu le groupe attaquer le ministère chinois de la Gestion des urgences, ainsi que le gouvernement de la province de Wuhan, dans une tentative apparente de voler des renseignements sur la réponse du pays au COVID-19. Toujours en 2020, le groupe a été aperçu en train de lancer une campagne d’espionnage ciblant les utilisateurs d’Android en Asie.

Les chercheurs ont déclaré que pour éviter les logiciels malveillants comme celui-ci, les utilisateurs de macOS ne devraient jamais cliquer sur des liens ou télécharger des pièces jointes à partir d’e-mails provenant de sources suspectes, et appliquer régulièrement des correctifs à leurs logiciels et applications.

Si cet article vous a plu, jetez un œil à notre précédent article.

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires
0
Nous aimerions connaître votre avis, laissez un commentaire.x
()
x