MacControl
MacControl wird von Cybersicherheitsanalysten als Trojaner-Bedrohung im Spätstadium eingestuft, die speziell auf Mac-Benutzer ausgerichtet ist. Wenn es MacControl gelingt, sich erfolgreich in den Computer des Benutzers einzubetten, erhalten die Angreifer ein umfassendes Maß an Kontrolle über das gefährdete Gerät.
MacControl wurde durch eine gezielte Angriffskampagne bereitgestellt, bei der waffengeschützte Word-Dokumente unter Mac-Benutzern verbreitet wurden. Um auf dem System Fuß zu fassen, haben die Hacker eine alte Sicherheitsanfälligkeit in Office für Mac ausgenutzt. Der Exploit tritt immer dann auf, wenn Microsoft Office Word versucht, ein Word-Dokument zu verarbeiten, das so erstellt wurde, dass es speziell einen fehlerhaften Datensatz enthält. Durch die Sicherheitsanfälligkeit kann der Bedrohungsakteur Remotecodeausführungsberechtigungen erhalten. Die Cyberkriminellen könnten Programme installieren, das Dateisystem manipulieren, neue Konten mit vollständigen Benutzerrechten erstellen usw. Es scheint, dass Benutzer mit Konten mit eingeschränkten Rechten weniger von der Bedrohung betroffen sind als Benutzer mit vollständigen Administratorrechten.
MacControl-Angriffskette
Der erste Schritt des Angriffs ist die Zustellung der E-Mail, die das Trojanisierte Word-Dokument als Anhang enthält. Immer wenn der Benutzer das beschädigte Dokument mit Office für Mac öffnet, wird die anfängliche beschädigte Nutzlast ausgelöst, die sich selbst in den Speicher kopiert. In der zweiten Phase des Angriffs werden mehrere Dateien in den Ordner / tmp / auf der Festplatte kopiert und anschließend ein beschädigtes Skript ausgeführt.
In der nächsten Phase wird die erste echte Malware-Bedrohung auf dem infizierten System geliefert. Es handelt sich um eine zuvor erkannte Bedrohung mit einem Command-and-Control-Server in New York. Der Angriff enthält einen weiteren Schritt und hier wird das MacControl, eine bisher unbekannte Malware-Erstellung, an den Computer geliefert. Infosec-Forscher haben verschiedene Versionen von MacControl beobachtet, die jeweils für eine andere Architektur entwickelt wurden.
MacControl Attack zeigt Verbindungen zu China
Es wurden starke Beweise dafür gefunden, dass die Kriminellen dafür verantwortlich sind, dass MacControl ausfindig gemacht wird oder Verbindungen zu China unterhält. Die zur Einleitung des Angriffs verwendeten Word-Dokumente sprechen über wichtige regionale Themen und sind so strukturiert, dass sie als Brief an die Menschenrechtskommission der Vereinten Nationen erscheinen. Das Thema ist der Jahrestag des tibetischen Aufstands gegen China. Ein weiterer Zusammenhang wurde entdeckt, als Forscher herausfanden, dass sich die Command-and-Control-Infrastruktur für MacControl ebenfalls in China befindet.
