Trend Micro a découvert l’existence d’une nouvelle porte dérobée (backdoor) qui a pour nom OSX_OCEANLOTUS.D et qui s’attaque aux utilisateurs ayant un Mac. Comme toute porte dérobée, le but est d’avoir un accès aux données des utilisateurs pour les récupérer sans qu’ils ne soient au courant.

La porte dérobée a été détectée au sein d’un document Word malveillant qui a été largement distribué par e-mail, potentiellement via des campagnes de phishing. Le document est supposé venir de HDMC, une entreprise vietnamienne qui vante l’indépendance et la démocratie. Si le document est ouvert par l’utilisateur, le Mac lui demande d’activer les macros qui vont mettre en place la porte dérobée et commencer à télécharger des fichiers dédiés. Naturellement, la personne qui accepte ne sait pas ce qui se passe sur son Mac.

Tous les fichiers utilisés par OSX_OCEANLOTUS.D sont chiffrés en AES avec une clé RSA 256 bits pour éviter d’être détectés. L’utilisateur est piégé à partir de ce moment, la porte dérobée est en place et s’activera automatiquement à chaque redémarrage du Mac. Pire, la porte dérobée peut être activée sur tous les utilisateurs, qu’ils aient les droits administrateurs ou non.

Selon Trend Micro, l’auteur de la porte dérobée est OceanLotus, une équipe de hackers qui se fait aussi appeler SeaLotus et Cobalt Kitty. Le groupe a été lié à des attaques contre des organisations de défense des droits de l’homme, des médias, des instituts de recherche, des entreprises de construction maritime et d’autres cibles corporatives dans le passé.