【Mac友注意】變種OceanLotus木馬肆虐東南亞 越南黑客專攻政府及企業
一個專門攻擊 macOS 電腦設備的木馬病毒 OceanLotus,其變種現正大肆活躍於東南亞,趨勢科技 (Trend Micro) 研究員指出,這款變種透過偽裝檔案格式避過防毒檢偵,而且一經觸發即會於 macOS 內安裝後門,同時更為自動剷除,中毒後便難以被發現。
變種 OceanLotus 的攻擊方式,主要是透過引誘電郵收件者點擊附件,這個附件雖然被標示為 Word 文件檔案,但實際上卻是一個被壓縮的應用程式,如點擊打開,由於並非 doc 屬性,所以作業系統會選擇執行應用程式,令病毒可以自動執行入侵活動。研究員指出壓縮檔內存在兩個檔案,一個是正常的 Word 檔,用途是令收件者誤以為正在打開電郵內的附件;另一個則為 Shell script,它的作用為刪除檔案的隔離屬性,令變種 OceanLotus 可執行提升權限的指令,並將下載的壓縮檔自動銷毁,減低日後被防毒軟件偵測的機會。病毒成功入侵後,就會開始採集電腦系統的資訊加密傳送回 C&C 中心,讓網絡罪犯掌握更多資訊繼續入侵,同時亦留下後門方便日後攻擊。
Trend Micro 研究員通過病毒樣本分析,推定新病毒為 OceanLotus 的變種,原因是其程式碼、運作模式均與 OceanLotus 相近,再加上創作 OceanLotus 的網絡犯罪集團 APT32 來自越南,而其中一個樣本名稱亦含有越南文,所以研究員更確認兩者的關係。而根據過往經驗,APT32 是一群專門以東南亞各國政府及企業為攻擊目標的組織,所以研究員相信這些地區均處於被變種 OceanLotus 攻擊的風險,現時研究員雖然已採集了一些可疑的 C&C 中心位址,但未能確定是否全部。如果要預防中招,研究員認為最終還是要由源頭做起──教導員工切勿打開可疑檔案或網站連結,即使來自可信的發件人,也一定要反覆驗證及確認,不能盡信。