Palo-Alto a publié un article de Unit 42 [1] qui traite d’une nouvelle déclinaison (juin 2017) de la porte dérobée OceanLotus [2] qui affecte les systèmes MAC OS. Cette nouvelle mouture, cible particulièrement des victimes au Vietnam et reste faiblement détectée par les Antivirus quand il y en a un d’installé… Ce que les analystes ont découvert concerne une amélioration notable du code et de la façon de procéder.
La charge est incluse dans un fichier zip. Lors de la décompression, il s’agit en fait de l’exécution de la charge qui présente une fois lancée un document word qui est alors ouvert comme un leurre. Une fois la machine compromise cette dernière contacte un serveur de command and control qui permet une utilisation à la demande par les pirates.
Most macOS malware in the wild today are not very complex, but threat actors have been quickly improving their tradecraft. The increased level of sophistication and complexity may be indicative of increased targeting of macOS hosts looking to the future.
La conclusion du rapport met en avant le fait que l’on observe une augmentation du degré de sophistication et de complexité des codes malveillants ce qui conduira vers l’accroissement du ciblage de machines sous MAC OS dans le futur.