Για κάποιο περίεργο λόγο, η Mac έκδοση του OceanLotus trojan ανιχνεύθηκε το Μάιο του 2015 δεν είχε καταψηφιστεί από οποιαδήποτε μηχανή antivirus, παρόλο που παρουσίαζε αρκετά επικίνδυνα χαρακτηριστικά.
Η ανακάλυψη έγινε από ερευνητές ασφαλείας της AlienVault, οι οποίοι σημειώστε ότι, δέκα μήνες αφότου οι Qihoo 360 ερευνητές αποκάλυψαν αυτήν τη malware εκστρατεία, παρατήρησαν ότι κανένα από τα προϊόντα ασφάλειας που αναφέρονται στο VirusTotal δεν είχε ανιχνεύσει την Mac έκδοση του trojan.
Στην έκθεσή τους, οι Qihoo 360 ερευνητές λένε ότι ανακάλυψαν τέσσερις εκδόσεις του OceanLotus trojan, ένα από τα οποία δημιουργήθηκαν ειδικά για να επιτεθούν σε Apple υπολογιστές. Το trojan έχει χρησιμοποιηθεί κυρίως εναντίον Κινεζικών στόχων, οι περισσότεροι εκ των οποίων ήταν κυβερνητικές οργανώσεις, εκπαιδευτικά ιδρύματα και τοπικές εταιρείες που ειδικεύονταν στο θαλάσσιο εμπόριο.
Ακριβώς όπως και στις παραλλαγές των Windows, η έκδοση Mac του OceanLotus χρησιμοποίησε ψεύτικες εγκαταστάσεις του Adobe Flash για να μολύνει τους υπολογιστές των χρηστών.
Αυτή η έκδοση έρχεται με υποστήριξη για τις i386 και x86_64 Mac αρχιτεκτονικές και μόλις εγκατασταθεί, εδραιώνει και την επιμονή εκκίνηση (boot persistence), εγκαθιστώντας τον δικό του Launch Agent..
Φυσικά, όπως συμβαίνει με κάθε σύγχρονη malware οικογένεια, το trojan χρησιμοποιεί έναν διακομιστή C&C (command and control) για την επικοινωνία με τους ιδιοκτήτες του, από όπου και λαμβάνει οδηγίες για το τι να κλέψει.
Το trojan έχει ισχυρές δυνατότητες κατασκοπείας, είναι σε θέση να πάρει μια λίστα με τις τοπικές εφαρμογές που εκτελούνται, μια λίστα με τα πρόσφατα ανοιχτά έγγραφα και μπορεί να πάρει screenshots της επιφάνειας εργασίας του χρήστη.
Επιπλέον, ο C&C εξυπηρετητής του trojan μπορεί να πει στο κακόβουλο λογισμικό να κατεβάσει διάφορα αρχεία, να κάνει unzip bundles εφαρμογών, να θέσει εφαρμογές σε εκτέλεση, να εκτελέσει κώδικα από μια δυναμική βιβλιοθήκη, να κλείσει κάποιες διαδικασίες και να διαγράψει αρχεία.
«Η χρήση των συγκεκριμένων OS X εντολών και APIs είναι η απόδειξη ότι οι συγγραφείς είναι στενά εξοικειωμένοι με το λειτουργικό σύστημα και έχουν περάσει αρκετό χρόνο για να το προσαρμόσουν για το περιβάλλον OS X», σημειώνει ο Eddie Lee της AlienVault. «Η OS X έκδοση του OceanLotus είναι σαφώς ένα ώριμο κομμάτι του κακόβουλου λογισμικού που είναι γραμμένο ειδικά για το OS X.»
Εκτός από την ώριμη εκδοχή, η οποία θύμισε πολύ τις παραλλαγές του των Windows, η AlienVault ανέφερε επίσης ότι είδε μια απλούστερη έκδοση του OceanLotus, η οποία φαίνεται να είναι μια ενδιάμεση παραλλαγή μόνο για δοκιμές.
Από την έκθεση της AlienVault, το ποσοστό ανίχνευσης στο VirusTotal έχει περάσει από 0/55 στο 22/55. Οπότε, δεδομένου ότι η ομάδα που ανέπτυξε το OceanLotus θεωρήθηκε ως πολύ ικανή στο να στοχεύει θύματα ανά επίθεση, οι τακτικοί χρήστες θα πρέπει να είναι αρκετά ασφαλής από αυτή την απειλή πλέον.
