Компания ESET сообщила о том, что обнаружила новую версию вредоносного ПО группировки OceanLotus. Угроза представляет собой бэкдор для платформы macOS.

Файл бэкдора зашифрован и обработан при помощи UPX-упаковщика, что затрудняет его обнаружение рядом ИБ-решений. Однако, как отмечают в ESET, многие пользователи macOS игнорируют продукты для безопасности, поэтому защита бэкдора от обнаружения имеет второстепенное значение.

При запуске вредоносная программа проверяет принадлежность устройства к семейству Mac (MacBook Pro, MacBook Air). Информация, которую киберугроза отправляет на командный C&C-сервер, содержит сведения о процессоре, памяти, серийном номере устройства и MAC-адресах сетевого интерфейса.

По данным экспертов ESET, используемые бэкдором C&C-серверы были созданы относительно недавно – в ноябре 2018 г. Антивирусные решения ESET NOD32 детектируют угрозу как OSX/OceanLotus.D.

Группировка OceanLotus действует как минимум с 2012 г. Ее кампании зачастую направлены на гoсструктуры, партии и коммерческие организации в странах Юго-Восточной Азии.