Pesquisadores da Trend Micro encontraram uma nova versão da backdoor utilizada pelo grupo conhecido pelo nome OceanLotus (também conhecido como APT 32, APT-C-00, SeaLotus ou Cobalt Kitty). Ao grupo são atribuídas investidas contra empresas nas verticais de mídia, pesquisa e construção civil.
A nova variante da backdoor parece ter como alvo usuários falantes de vietnamita, baseando-se no nome do arquivo através do qual tenta se disfarçar.
Vetor de entrada
O chega como um bundle com ícone e extensão de documento do Word, só que não é!
Fonte: Trend Micro Research
Na real o bundle é um ZIP e este arquivo aparentemente .doc exibido tem na real a seguinte extensão: "\xef\xb8\x80doc". Pois é, estes três bytes representam o caractere variant selector-1 (VS1) que modifica a aparência do caractere anterior, mas no caso do ponto, não faz nada. Não tenho acesso a um macOS no momento mas testei num Windows via WSL aqui e realmente o truque é quase imperceptível:
Na imagem acima o terminal do WSL respresentou o VS1 com dois espaços, antes e depois do ponto. Já o Windows mostrou normalmente o .doc, mas na coluna "Type" dá pra ver que tem algo errado.
Mas e aí? Se a extensão não é exatamente ".doc", então o Word não vai abrir, certo? Certo, mas é isso mesmo que o autor do malware quer. O macOS vê o bundle como não suportado e para estes tipos a ação padrão é abrir com o comando "open". Isso faz com que o arquivo, que na real é um script em bash, seja executado! Super engenhoso.
Múltiplos estágios
O ataque é modular e em estágios. O script em bash citado acima é só o primeiro. O último estágio é um binário Mach-O mesmo. Para saber mais sobre, confere no blog da Trend. ;)
Usuários de macOS, fiquem de olho. Vocês não estão livres de ameaças não, viu?
Comentários Recomendados
Participe da conversa
Você pode postar agora e se cadastrar mais tarde. Se você tem uma conta, faça o login para postar com sua conta.