Pesquisadores da Trend Micro encontraram uma nova versão da backdoor utilizada pelo grupo conhecido pelo nome OceanLotus (também conhecido como APT 32, APT-C-00, SeaLotus ou Cobalt Kitty). Ao grupo são atribuídas investidas contra empresas nas verticais de mídia, pesquisa e construção civil.
A nova variante da backdoor parece ter como alvo usuários falantes de vietnamita, baseando-se no nome do arquivo através do qual tenta se disfarçar.
Vetor de entrada
O chega como um bundle com ícone e extensão de documento do Word, só que não é!
Fonte: Trend Micro Research
Na real o bundle é um ZIP e este arquivo aparentemente .doc exibido tem na real a seguinte extensão: "\xef\xb8\x80doc". Pois é, estes três bytes representam o caractere variant selector-1 (VS1) que modifica a aparência do caractere anterior, mas no caso do ponto, não faz nada. Não tenho acesso a um macOS no momento mas testei num Windows via WSL aqui e realmente o truque é quase imperceptível:
Na imagem acima o terminal do WSL respresentou o VS1 com dois espaços, antes e depois do ponto. Já o Windows mostrou normalmente o .doc, mas na coluna "Type" dá pra ver que tem algo errado.
Mas e aí? Se a extensão não é exatamente ".doc", então o Word não vai abrir, certo? Certo, mas é isso mesmo que o autor do malware quer. O macOS vê o bundle como não suportado e para estes tipos a ação padrão é abrir com o comando "open". Isso faz com que o arquivo, que na real é um script em bash, seja executado! Super engenhoso.
Múltiplos estágios
O ataque é modular e em estágios. O script em bash citado acima é só o primeiro. O último estágio é um binário Mach-O mesmo. Para saber mais sobre, confere no blog da Trend. ;)
Usuários de macOS, fiquem de olho. Vocês não estão livres de ameaças não, viu?
Recommended Comments
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.