Обнаружен троян для OS X, способный обходить антивирусы

Исследователи компании AlienVault провели подробный анализ OS X-трояна Ocean Lotus, использовавшегося в атаках на китайские организации.

Вирус обнаружили специалисты Qihoo 360 в мае 2012 года. Ocean Lotus еще с 2012 года использовался в APT-кампаниях против правительственных организаций, исследовательских институтов и прочих компаний.

Злоумышленники распространяли троян с помощью целевого фишинга и инфицирования web-сайтов, посещаемых жертвами. По данным исследователей Qihoo 360, в настоящее время существует примерно четыре версии Ocean Lotus, включая вариант для ОС OS X.

Специалисты AlienVault изучили два образца Ocean Lotus для OS X – раннюю версию с недостаточной функциональностью и более поздний вариант. На момент анализа последняя версия Ocean Lotus не обнаруживалась ни единым антивирусом на VirusTotal.

OS X-версия Ocean Lotus представлена в виде обновления к Adobe Flash Player. Дроппер, загружающий, дешифрующий и запускающий вредонос, выполнен в виде файла Mach-O, способного запускаться под архитектурами i386 и x86_64.

Разработчики используют шифрование XOR и технику индирекции для предотвращения обнаружения и анализа вируса. Использование специфичных для OS X команд и вызовов API позволяет судить об опытности вирусописателей.

Инфицировав систему, Ocean Lotus запускает процесс Launch Agent и пытается соединиться с C&C-сервером. Вредонос собирает базовую информацию об устройстве, включая имя компьютера, имя пользователя и уникальный идентификатор. Ocean Lotus также определяет, используются ли привилегии суперпользователя.

Вредоносное ПО способно выполнять несколько задач. Вирус может открывать наборы приложений, получать информацию о файлах, открывать список недавно открытых документов, получать данные об активных окнах, делать скриншоты, загружать файлы с интернета, запускать и прекращать работу процессов, а также удалять произвольные файлы.