Новый macOS-бэкдор скрывается в документах Word

Новый macOS-бэкдор скрывается в документах Word

Новый macOS-бэкдор скрывается в документах Word

Специалисты Trend Micro обнаружили бэкдор для macOS, который, по предположениям экспертов, используется группой киберпреступников OceanLotus (другие имена: APT 32, APT-C-00, SeaLotus и Cobalt Kitty).

«OceanLotus приписываются атаки на правозащитные организации, средства массовой информации, научно-исследовательские институты. Мы детектируем этот бэкдор как OSX_OCEANLOTUS.D, он атакует компьютеры под управлением macOS, на которой установлен язык программирования Perl», — пишут исследователи.

Бэкдор был обнаружен во вредоносном документе Word, который доставлялся жертвам по электронной почте. Имя документа — «2018-PHIẾU  GHI  DANH  THAM  DỰ  TĨNH  HỘI HMDC 2018.doc», он пытается замаскироваться под форму приглашения на мероприятие, организованное вьетнамской организацией HDMC, выступающей за национальную независимость и демократию.

После открытия подобного документа пользователю предлагает активировать макросы, код обфусцирован посимвольно с помощью ASCII.

После деобфускации можно увидеть, что вредоносная составляющая написана на языке программирования Perl. Злонамеренный код извлекает theme0.xml из документа Word, theme0.xml является 32-битным исполняемым файлом, в сущности, это дроппер, который устанавливается по пути /tmp/system/word/theme/syslogd.

Этот дроппер, в свою очередь, устанавливает сам бэкдор, который собирает информацию об операционной системе, отправляя ее на удаленный командный сервер C&C. После этого этапа вредонос может выполнять любые команда, отправляемые серверов, получая контроль над зараженной системой.

Поскольку зловред распространяется с помощью фишинговых писем, Trend Micro рекомендует всем внимательнее относится к тому, что приходит в ваш почтовый ящик.

Ранее мы сообщали, что пользователи macOS High Sierra опять столкнулись с багом APFS. На этот раз эксперты выяснили, что последняя версия macOS регистрирует пароли шифрования для внешних дисков, отформатированных в APFS, причем хранит их в простом текстовом виде в лог-файлах.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Количество атак на веб-сайты российских компаний удвоилось

Согласно данным, собранным ГК «Солар» за первый квартал 2025 года, на веб-сайты российских компаний было совершено 801,2 млн веб-атак. Это в два раза больше, чем за аналогичный период прошлого года.

Основными целями атак стали сайты логистических сервисов, государственных структур и кредитно-финансовых организаций.

В исследование вошли онлайн-ресурсы 134 российских компаний из различных отраслей, защищаемых сервисом Solar WAF. Среди них — организации из госсектора, ИТ, логистики, розничной торговли, банковской сферы, промышленности, телекома и других отраслей.

Особое внимание аналитики обратили на логистическую отрасль: в одном из случаев число атак на компанию выросло за год в 5,5 тыс. раз. Основную активность здесь проявляли боты, которые перехватывали номера заказов, введённые пользователями на фейковых сайтах, и затем создавали множество запросов на официальный сайт компании, резко увеличивая нагрузку на серверы.

Число сканирований веб-ресурсов в поисках уязвимостей также значительно возросло — в 5,4 раза, до 678 млн случаев, что составило 84% всех зафиксированных атак. В три раза увеличилось количество сложных веб-атак.

Среди сложных атак в ГК «Солар» выделили следующие типы:

  • DNS Rebinding — попытки получить контроль над хостом атакуемого сайта;

  • CSS Injection — внедрение вредоносного CSS-кода в веб-приложение для изменения его внешнего вида или кражи данных;

  • Denial of Service (DoS) — проведение объемных запросов с целью вызвать сбой в работе веб-приложения;

  • XML Injection — манипулирование логикой XML-приложений или документов для доступа к конфиденциальным данным, повреждения данных, отказа в обслуживании или выполнения произвольного кода.

«Аналитика показывает, что злоумышленники стали настойчивее в попытках взломать веб-приложения: если раньше, увидев защиту, они быстро переключались на менее защищённые сайты, то сейчас продолжают упрямо искать уязвимости в защищённых ресурсах. Мы рекомендуем всем компаниям использовать сервисы защиты с опытной командой, способной круглосуточно отражать мощные волны веб-атак», — отметил Алексей Пашков, руководитель направления WAF ГК «Солар».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru