Expertos en seguridad informática han detectado una nueva variante de malware dirigida contra usuarios de MacOS en una campaña de hacking potencialmente patrocinada por un actor estatal. Los investigadores de Trend Micro afirman que la campaña está relacionada con OceanLotus, grupo de hacking también identificado como APT32, asociado al gobierno de Vietnam.
Los principales objetivos de OceanLotus son organizaciones extranjeras que operan en territorio vietnamita, incluyendo medios de comunicación, firmas de investigación, constructoras, entre otras. Los expertos creen que los hackers despliegan complejas labores de espionaje para favorecer a compañías nacionales.
Acorde a los reportes, esta campaña abusa de un backdoor en macOS que proporciona a los hackers maliciosos un punto de entrada a los sistemas comprometidos. Una vez dentro los hackers comienzan a espiar para robar credenciales de acceso, documentos confidenciales y cualquier otro registro que pueda resultarles útil.
Los expertos creen que esta campaña está vinculada a OceanLotus debido a las similitudes en el modo de operación con ataques registrados anteriormente. Estas campañas comienzan con un email de phishing que incluye un archivo ZIP disfrazado como un documento de Word. Los actores de amenazas esquivan los mecanismos antivirus empleando algunos caracteres especiales al interior de múltiples carpetas ZIP.
Aunque las víctimas podrían deducir que se encuentran bajo ataque al no encontrar ningún documento de Word ya será demasiado tarde, puesto que para entonces una carga útil ya estará ejecutándose en sus sistemas, lo que deriva en la descarga e instalación del backdoor.
Al igual que las versiones anteriores de este ataque, OceanLotus tiene como objetivo recopilar información del sistema y crear un backdoor para que los actores de amenazas puedan espiar y descargar archivos, así como cargar variantes de malware adicionales en el sistema si es necesario.
Finalmente, los especialistas sugieren que los hackers actualizan constantemente el código de este malware: “Grupos de hacking como OceanLotus actualizan activamente las variantes de malware desarrolladas en un intento de evadir la detección y mejorar la persistencia”, aseguran en su reporte.
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.