Дослідники компанії AlienVault провели детальний аналіз OS X-трояна Ocean Lotus, що використовувався в атаках на китайські організації.

Вірус виявили фахівці Qihoo 360 в травні 2012 року. Ocean Lotus ще з 2012 року використовувався в APT-кампаніях проти урядових організацій, дослідницьких інститутів та інших компаній.

Зловмисники розповсюджували троян за допомогою цільового фішингу та інфікування web-сайтів, відвідуваних жертвами. За даними дослідників Qihoo 360, в даний час існує приблизно чотири версії Ocean Lotus, включаючи варіант для ОС OS X.

Фахівці AlienVault вивчили два зразка Ocean Lotus для OS X - ранню версію з недостатньою функціональністю і більш пізній варіант. На момент аналізу совеременная версія Ocean Lotus не виявляється жодним антивірусом на VirusTotal.

OS X-версія Ocean Lotus представлена ??у вигляді оновлення до Adobe Flash Player. Дроппер, що завантажує, дешифрує і запускає шкідливий, виконаний у вигляді файлу Mach-O, здатного запускатися під архітектурою i386 і x86_64.

Розробники використовують шифрування XOR і техніку індірекціі для запобігання виявлення та аналізу вірусу. Використання специфічних для OS X команд і викликів API дозволяє судити про досвідченості вирусописателей.

Інфікувавши систему, Ocean Lotus запускає процес Launch Agent і намагається з'єднатися з C & C-сервером.

Шкідливий збирає базову інформацію про пристрій, включаючи ім'я комп'ютера, ім'я користувача і унікальний ідентифікатор. Ocean Lotus також визначає, чи використовуються повноваження супер.

Шкідливе ПО здатне виконувати кілька завдань. Вірус може відкривати набори додатків, отримувати інформацію про файлах, відкривати список недавно відкритих документів, отримувати дані про активні вікнах, робити скріншоти, завантажувати файли з інтернету, запускати і припиняти роботу процесів, а також видаляти довільні файли.