MacControl
MacControl está clasificado por los analistas de ciberseguridad como una amenaza troyana en etapa tardía diseñada específicamente para los usuarios de Mac. Si MacControl logra integrarse en la computadora del usuario con éxito, proporcionaría a los atacantes un amplio nivel de control sobre el dispositivo comprometido.
MacControl se entregó a través de una campaña de ataque dirigida que vio la difusión de documentos de Word armados entre los usuarios de Mac. Para hacerse un hueco en el sistema, los piratas informáticos explotaron una antigua vulnerabilidad de Office para Mac. El exploit surge cada vez que Microsoft Office Word intenta manejar un documento de Word que se creó para incluir específicamente un registro con formato incorrecto. A través de la vulnerabilidad, el actor de la amenaza puede lograr privilegios de ejecución de código remoto. Los ciberdelincuentes podrían instalar programas, manipular el sistema de archivos, crear nuevas cuentas con derechos de usuario completos, etc. Parece que los usuarios con cuentas que poseen derechos limitados se ven menos afectados por la amenaza, en comparación con los usuarios con derechos administrativos completos.
Cadena de ataque MacControl
El primer paso del ataque es la entrega del correo electrónico que contiene el documento de Word troyanizado como archivo adjunto. Siempre que el usuario abre el documento dañado con Office para Mac, activa la carga útil corrupta inicial que se copia a sí misma en la memoria. En la segunda etapa del ataque, se copian varios archivos en la carpeta / tmp / del disco y luego se ejecuta un script dañado.
Durante la siguiente etapa, la primera amenaza real de malware se lanza al sistema infectado. Es una amenaza detectada previamente con un servidor de comando y control con sede en Nueva York. El ataque contiene un paso más y es aquí donde se entrega a la computadora MacControl, creación de malware previamente desconocida. Los investigadores de infosec han observado varias versiones diferentes de MacControl, cada una diseñada para trabajar en una arquitectura diferente.
El ataque de MacControl muestra vínculos con China
Se han descubierto pruebas contundentes que apuntan a que los delincuentes responsables de la localización de MacControl o su vínculo con China. Los documentos de Word que se utilizaron para iniciar el ataque hablan de problemas regionales conmovedores y están estructurados para aparecer como una carta dirigida a la Comisión de Derechos Humanos de las Naciones Unidas. El tema es el aniversario del levantamiento tibetano contra China. Se descubrió otro vínculo cuando los investigadores descubrieron que la infraestructura de comando y control para MacControl también tenía su sede en China.
