Исследователями компании AlienVault была подробно проанализирована Ocean Lotus – троянская программа для OS X, использовавшаяся в ходе кибератак на организации в Китае.
Программа была обнаружена в мае 2012 года специалистами из Qihoo 360. Ocean Lotus уже тогда применялся в рамках APT-кампаний, жертвами которых становились правительственные организации, исследовательские институты и прочие компании.
Распространение троянской программы осуществлялось путем целевого фишинга и заражения веб-сайтов, посещаемых пострадавшими пользователями. Согласно информации исследователей из Qihoo 360, на данный момент существует четыре разновидности Ocean Lotus, включая вариацию для OS X.
Специалистами AlienVault были изучены две версии Ocean Lotus для OS X: ранняя, имеющая недостаточную функциональность, и новейший вариант, который в ходе анализа не был выявлен ни одной антивирусной программой на VirusTotal.
Версия Ocean Lotus для OS X имитирует обновление к Adobe Flash Player. Дроппер, который осуществляет загрузку, дешифровку и запуск вредоносной программы, сделан в виде файла Mach-O.
Для предотвращения обнаружения и анализа вредоносной программы ее создателями применяется техника индирекции и шифрование XOR. Использование команд и вызовов API, специфичных для OS X, является свидетельством опытности разработчиков.
После заражения системы Ocean Lotus производит запуск процесса Launch Agent и предпринимает попытку соединения с C&C-сервером. Вредоносная программа осуществляет сбор базовой информации об устройстве, в том числе имени компьютера, имени пользователя и уникального идентификатора. Также Ocean Lotus проводит проверку на предмет использования привилегий суперпользователя.
Вредоносная программа может открыть набор приложений, получить сведения о файлах, просмотреть перечень документов, открытых недавно, собрать информацию об активных окнах, сделать скриншот, загрузить файлы из интернета, запустить и прекратить работу процессов, а также удалить произвольные файлы.