Uno de los primeros ataques de malware macro a los usuarios de MacOS fue descubierto ek 6 de febrero por Snorre Fagerland y Patrick Wardle
El malware macro es un archivo en cuestión era un archivo de Word denominado "aliados de Estados Unidos y rivaliza con la victoria del Digesto Trump - Fundación Carnegie para la Peace.docm Internacional", que en el momento en que se descubrió, sólo se detectó por cuatro escáneres antivirus en VirusTotal.
De acuerdo con Wardle, este documento de Word contiene una secuencia de comandos de macro que impulsó a los usuarios de Mac mostrar una advertencia de que la mayoría de los usuarios de Windows están muy familiarizados.
Permitir que las secuencias de comandos de macro puedan ejecutar al abrir el archivo de Word daría lugar a una infección inmediata, ya que el código malicioso contenido dentro se creó para ejecutar bajo una función de auto-abierta.
Wardle, extrae la secuencia de comandos de macro y lo analizó, dice la macro contenía un fragmento de datos base64, que se extrae y ejecuta como comandos de Python.
Después de un vistazo más de cerca a estos comandos, Wardle dice el guión iba a pasar por cuatro etapas:
- 1. Comprobar si una aplicación de seguridad de Mac llamada LittleSnitch estaba corriendo
- 2. Descargas otra carga útil desde un servidor remoto
- 3. Descifra la carga útil a través de RC4
- 4. Ejecutar la carga útil descifrado
Debido a que el servidor remoto fue abajo cuando Wardle analizó la secuencia de comandos de macro, que nunca llegó a verificar las verdaderas capacidades y el propósito de la carga útil de la segunda etapa.
Sin embargo, Wardle sí identificó los comandos de la carga útil de la primera fase, fragmentos tomados de Empyre, un sistema operativo posterior a la explotación X agente / Linux escrito en Python 2.7.
El sentido común dice que la carga útil de la segunda etapa también debe haber prestado algunos trucos de Empyre, que incluye módulos para volcar el llavero de Apple (almacén de contraseñas), que espía a través de la cámara web, y el robo de archivos del historial del navegador.
Wardle también descubrió que el servidor desde donde esta la macro de Word para descargar la carga útil de la segunda etapa se encuentra en Rusia, en una dirección IP previamente asociado con otras campañas de malware.
En los últimos años, los usuarios de Mac han sido generalmente ignorada por los autores de malware, de manera similar a los usuarios de Linux. No obstante, los ataques a los usuarios de Mac y Linux están intensificando como ambos sistemas operativos se han vuelto más populares.
