Een Amerikaanse denktank op het gebied van buitenlandse zaken is aangevallen met Mac-malware, nadat een aanval met Windows-malware niet werkte. Dat stelt securitybedrijf Proofpoint in een analyse. Afgelopen mei stuurden de aanvallers een e-mail waarin ze zich voordeden als een onderzoeker van het Royal United Services Institute (RUSI). Na een eerste onschuldige e-mail stuurden de aanvallers vervolgens een bericht waarin werd gelinkt naar een Google Script-macro, die weer linkte naar een Dropbox-url.
Via de Dropbox-link werd een met wachtwoord beveiligd RAR-bestand aangeboden. Dit RAR-bestand bevatte weer een malafide LNK-bestand dat de GorjolEcho-malware downloadt. Dit is een backdoor waarmee de aanvallers toegang tot het systeem krijgen. Volgens onderzoeker Joshua Miller ontdekten de aanvallers dat hun aanval niet werkte op de Mac van het doelwit. Een week later werd het doelwit opnieuw benaderd, maar dan met Mac-malware.
Het ging om een e-mail voorzien van een met wachtwoord beveiligd ZIP-bestand. Dit zip-bestand bevatte weer het eerste deel van de Mac-malware. Volgens de instructies zou het om vpn-software gaan waarmee toegang tot afgeschermde content kan worden verkregen. In werkelijkheid gaat het om malware die informatie van het systeem verzamelt en een remote access trojan installeert. Volgens Proofpoint is de aanval uitgevoerd door een vanuit Iran opererende groep.
Deze posting is gelocked. Reageren is niet meer mogelijk.