Исследователи компании AlienVault провели подробный анализ OS X-трояна Ocean Lotus, использовавшегося в атаках на китайские организации.
Вирус обнаружили специалисты Qihoo 360 в мае 2012 года. Ocean Lotus еще с 2012 года использовался в APT-кампаниях против правительственных организаций, исследовательских институтов и прочих компаний.
Злоумышленники распространяли троян с помощью целевого фишинга и инфицирования web-сайтов, посещаемых жертвами. По данным исследователей Qihoo 360, в настоящее время существует примерно четыре версии Ocean Lotus, включая вариант для ОС OS X.
Специалисты AlienVault изучили два образца Ocean Lotus для OS X – раннюю версию с недостаточной функциональностью и более поздний вариант. На момент анализа последняя версия Ocean Lotus не обнаруживалась ни единым антивирусом на VirusTotal.
OS X-версия Ocean Lotus представлена в виде обновления к Adobe Flash Player. Дроппер, загружающий, дешифрующий и запускающий вредонос, выполнен в виде файла Mach-O, способного запускаться под архитектурами i386 и x86_64.
Разработчики используют шифрование XOR и технику индирекции для предотвращения обнаружения и анализа вируса. Использование специфичных для OS X команд и вызовов API позволяет судить об опытности вирусописателей.
Инфицировав систему, Ocean Lotus запускает процесс Launch Agent и пытается соединиться с C&C-сервером. Вредонос собирает базовую информацию об устройстве, включая имя компьютера, имя пользователя и уникальный идентификатор. Ocean Lotus также определяет, используются ли привилегии суперпользователя.
Вредоносное ПО способно выполнять несколько задач. Вирус может открывать наборы приложений, получать информацию о файлах, открывать список недавно открытых документов, получать данные об активных окнах, делать скриншоты, загружать файлы с интернета, запускать и прекращать работу процессов, а также удалять произвольные файлы.
Информация предоставлена ресурсом IGate по материалам SC Magazine
Комментарии