El troyano OceanLotus para Mac se hace pasar por el instalador de Flash


La gran mayoría de los usuarios de Mac no tienen nada que temer



Por alguna extraña razón, la versión para Mac del troyano OceanLotus detectado en mayo del 2015 no ha sido eliminado por cualquier motor antivirus, incluso si presenta un buen número de características peligrosas.

El descubrimiento ha sido realizado por el los investigadores de seguridad de AlienVault, teniendo en cuenta que, diez meses después los investigadores de Qihoo 360 detectaron esta campaña de malware, ninguno de los productos de seguridad que figuran en VirusTotal ha estado detectando la versión para Mac de este troyano.

En su informe, los investigadores de Qihoo 360 dicen que descubrieron cuatro versiones del troyano OceanLotus, uno de los cuales fue creado específicamente para atacar los ordenadores de Apple. El troyano se ha utilizado principalmente contra objetivos chinos, la mayoría de los cuales a organizaciones gubernamentales, instituciones educativas y empresas locales especializadas en el comercio marítimo.

Hubo algunas similitudes entre las versiones de Mac y Windows

Al igual que las variantes de Windows, la versión Mac de OceanLotus también utilizó falsos instaladores de Flash para infectar los equipos de los usuarios.

Esta versión viene con soporte tanto para i386 y para las arquitecturas x86_64 para Mac, una vez instalado, obtiene persistencia en el arranque mediante la creación de su propio Agente Launch.

Por supuesto, como con cualquier familia de malware moderno, el troyano utiliza un servidor C & C (comando y control) para comunicarse con sus creadores, de donde recibe instrucciones sobre qué robar.

OceanLotus para Mac es una potente utilidad de espionaje

El troyano tiene capacidades de espionaje de gran alcance, pudiendo obtener una lista de aplicaciones en ejecución locales, una lista de los documentos abiertos recientemente, y puede realizar capturas de pantalla dle escritorio del usuario.

Además, el servidor C & C del troyano puede instruir al malware descargar varios archivos, paquetes de aplicaciones para descomprimir, iniciar la ejecución de aplicaciones, ejecutar código desde una biblioteca dinámica, detener procesos y eliminar archivos.

"El uso de comandos y el uso de API específicas en OS X es evidencia de que los autores están muy bien familiarizados con el sistema operativo y han dedicado un poco de tiempo en la personalización del entorno de OS X", Eddie Lee de AlienVault señala. "La versión para OS X de OceanLotus es claramente una pieza elaborada de malware que se ha escrito específicamente para OS X."

Además de está versión mejor elaborada, que se parece mucho a sus variantes de Windows, AlienVault también ha informado de que se ha detectado una versión más simple de OceanLotus, lo que parece ser un intermedio o una variante en prueba.

Según el informe de AlienVault, la tasa de detección en VirusTotal ha pasado de 0/55 a 22/55 (en el momento en que se escribió este artículo). El grupo que despliega OceanLotus se considera como un APT en función al ataque que orienta a sus victimas, los usuarios regulares están a salvo de esta amenaza.

Fuente: Softpedia