macOS atakami backdoor użytkowników za pośrednictwem innowacyjnych przebranie Metoda

Computer Security News

Backdoor wersja kierowania urządzeń macOS jest teraz za pomocą innowacyjnej metody na pokrycie fakt, że jest to plik wykonywalny. Według naukowców bezpieczeństwa, głównym celem nowej techniki jest aby uniknąć ostrzegania użytkowników na jego wykonanie.

Backdoor wariant nazywa HiddenLotus, i jest rozpowszechniany za pośrednictwem aplikacji o nazwie .pdf Lê czw Hà (HAEDC), który jest przebrany jako plik Adobe Acrobat.

Technika, która aplikacja używa tego zachowania inspiruje funkcji kwarantanny plików, które są wprowadzone w Leopard (Mac OS X 10.5), gdzie pliki pobrane z Internetu są oznaczone jako poddany kwarantannie.

Pobrany plik należy plik wykonywalny, takich jak aplikacja, wyskakujące powiadomienie ostrzega użytkownika o tym, przy próbie otwarcia pliku.

HiddenLotus backdoor jest nowy wariant OceanLotus backdoora, który ostatnio został zauważony latem tego roku. W tym czasie malware był przebrany jako dokument programu Microsoft Word, kierowanie użytkowników w Wietnamie, jednak od tamtej pory przebranie osiągnęła wyższy poziom.

Główna różnica między dwóch wariantów szkodliwego oprogramowania jest fakt, że starszej wersji miał rozszerzenie .app ukryte, wskazując, iż aplikacja, podczas gdy HiddenLotus ma rozszerzenie .pdf i oferuje rozszerzenie .app nie.

Zdaniem ekspertów, to jest prawdopodobne, ze względu na fakt, że Szkodnik wykorzystuje rozszerzenie ukryte, gdzie miał ‘ w .pdf jest rzeczywiście miał rzymskimi ‘ (reprezentujący liczbę 500) małymi literami.

“Aplikacji nie trzeba mieć rozszerzenie .app być traktowana jak aplikacji. Aplikacja na macOS jest rzeczywiście folder ze specjalnej wewnętrznej struktury o nazwie pakietu. Folder z odpowiednią jest nadal tylko folder, ale jeśli dasz to przedłużenie .app, natychmiast staje się aplikacja,” mówią naukowcy.

Ze względu na ten fakt, Finder traktuje folder w jednym pliku i uruchamia go jako aplikacji po dwukrotnym kliknięciu, zamiast otwierać folder.

Gdy użytkownik kliknie dwukrotnie folder lub plik, zezwalał uważa rozszerzenie najpierw i otwiera element odpowiednio, gdy wiadomo, że rozszerzenie.

Pliki z rozszerzeniami .txt otworzy z TextEdit domyślną. W związku z tym folder z rozszerzeniem .app zostanie uruchomiony jako aplikacja, powinien mieć prawo wewnętrzne struktury.
W przypadku, gdy rozszerzenie jest nieznany, użytkownik jest konsultowany, podczas próby otwarcia pliku, i one można wybrać aplikację do otwarcia pliku lub wyszukiwania Mac App Store.

Jednak po dwukrotnym kliknięciu folderu z nieznanym rozszerzeniem, zezwalał nastąpi powrót na patrząc na zestaw folderów.

To, jaki wpływ mają twórca HiddenLotus: Kroplomierz jest folder, który ma strukturę wewnętrzną pakiet aplikacji. Ze względu na wykorzystanie rzymską w rozszerzenie .pdf i jak jest aplikacja nie jest zarejestrowany w celu otwarcia go, system traktuje ją jako aplikację, mimo, że nie ma rozszerzenie .app telltale.

Eksperci bezpieczeństwa należy zauważyć, że istnieje ogromny lista możliwych rozszerzeń, które hakerzy może nadużywać, zwłaszcza, gdy za pomocą znaków Unicode. Biorąc pod uwagę ten fakt, użytkownicy mogą łatwo manipulować otworzyć pliki, takie jak naśladować dokumenty Word (doc), Excel arkusze kalkulacyjne (.xls), dokument Pages (.pages), itp

“to jest miłe trick, ale to nadal nie będzie ominąć kwarantanny plików. System będzie ostrzegać, że to, co próbujesz otworzyć jest aplikacja. O ile, oczywiście, co ma być otwarty został pobrany za pomocą aplikacji, która nie używa interfejsów API, które prawidłowo ustawić flagę kwarantanny na plik, tak jak w przypadku niektóre aplikacje torrent,” stan ekspertów.


Leave a Reply

Your email address will not be published. Required fields are marked *