Los usuarios de aplicaciones de mensajería instantánea chinas como DingTalk y WeChat están en la mira de una variante de macOS de una puerta trasera conocida como HZ RAT.
Este malware fue documentado por primera vez por una empresa alemana de ciberseguridad en noviembre de 2022. Las cadenas de ataque con documentos RTF están diseñadas para desplegar la versión de Windows del malware que se ejecuta en el host comprometido explotando una antigua vulnerabilidad de Microsoft Office en el Editor de Ecuaciones (CVE-2017-11882).
Por otro lado, el segundo método de distribución se disfraza como un instalador de software legítimo como OpenVPN, PuTTYgen o EasyConnect que, además de instalar el programa señuelo, también ejecuta un script de Visual Basic (VBS) responsable de lanzar la RAT.
Las capacidades de HZ RAT son bastante simples en el sentido de que se conecta a un servidor de comando y control (C2) para recibir instrucciones adicionales. La evidencia muestra que las primeras iteraciones del malware se detectaron por primera vez en la naturaleza en junio de 2020. La propia campaña, según DCSO, se cree que está activa desde al menos octubre de 2020.
Más recientemente, una muestra subida a VirusTotal en julio de 2023 descubierta por Kaspersky, suplanta a OpenVPN Connect («OpenVPNConnect.pkg»), que al iniciarse establece contacto con un servidor C2 especificado en la puerta trasera para ejecutar comandos básicos similares a los de su contraparte de Windows.
Un análisis adicional de la infraestructura de ataque ha revelado que casi todos los servidores C2 están ubicados en China, salvo dos, que están ubicados en EE. UU. y los Países Bajos. Además, se dice que el archivo ZIP que contiene el paquete de instalación de macOS («OpenVPNConnect.zip») fue descargado previamente de un dominio perteneciente a un desarrollador chino de videojuegos llamado miHoYo, conocido por Genshin Impact y Honkai.
Actualmente no está claro cómo se cargó el archivo en el dominio en cuestión («vpn.mihoyo[.]com«) y si el servidor fue comprometido en algún momento en el pasado. Tampoco está determinado cuán extendida está la campaña, pero el hecho de que la puerta trasera se esté utilizando incluso después de todos estos años apunta a cierto grado de éxito.
«La versión de macOS de HZ Rat que encontramos muestra que los actores de amenazas detrás de los ataques anteriores todavía están activos,» dijo el investigador de Kaspersky Sergei Puzan.
Vía The Hacker News
