Un nuevo MacOS Backdoor incrustado en un documento malicioso de Word probablemente se haya distribuido a través de campañas de phishing.
Al ejecutar los documentos, se les pide a los usuarios que habiliten las macros para descargar la carga final.
Los investigadores de TrendMicro creen que la puerta trasera está vinculada al grupo de piratería OceanLotus, que es responsable de lanzar ataques de alto perfil contra organizaciones de derechos humanos, organizaciones de medios, institutos de investigación y empresas de construcción marítima.
Los atacantes apuntan a computadoras MacOS que tienen instalados módulos Perl. El MacOS Backdoor OSX_OCEANLOTUS.D está escrito en el lenguaje de programación Perl y la macro está ofuscada usando el código decimal ASCII.
El cuentagotas es persistente y todas las cadenas del cuentagotas están encriptadas usando una clave RSA256 y codificadas en base64.
Funciones de MacOS Backdoor
La puerta trasera contiene dos funciones importantes.
- InfoClient: Recopila la información, como ComputerName, Mac OSX, nombre del propietario y comprueba x86 / 64 bit.
- runHandle: Responsable de manejar operaciones de puerta trasera
Todos los datos recopilados se cifrarán y luego se transferirán al servidor de C & C. Se codifica comprueba que el byte sea impar o par y agrega datos de acuerdo con él.
Los datos codificados se cifrarán nuevamente con la clave aleatoria AES 256 y la clave también se codificará con la operación XOR 0x13 seguida de la operación ROL
Además, la carga útil final obtenida del servidor también se decodificó de nuevo de manera similar a través de descifrado y cifrado.
Cómo mantenerse seguro de Campaña Business Phishing
- 1. Tener una dirección de correo electrónico única.
- 2. No abra ningún archivo adjunto sin la validación adecuada.
- 3. No abra correos electrónicos voluntarios.
- 4. Use filtros de correo no deseado y pasarelas Antispam.
- 5. Nunca responda a ningún correo electrónico no deseado.
- 6. verificar el proveedor.
- 7. Implementar la autenticación de dos factores
