macOS бекдор атаки користувачів за допомогою методу інноваційних маскування

Computer Security News

Backdoor версія орієнтації macOS пристрої тепер використовує інноваційні методи для покриття той факт, що це виконуваного файлу. За словами безпеки дослідники, основна мета нової техніки, щоб уникнути оповіщення користувачів на його виконання.

Backdoor варіант називається HiddenLotus, і він розповсюджується за допомогою застосунку названий. PDF Lê Чет Hà (HAEDC), який під виглядом як файл Adobe Acrobat.

Техніка, яка використовує такої поведінки надихає файл карантину функція, представлена в Leopard (Mac OS X 10.5), де файлів, завантажених з Інтернету позначені як на карантин.

Повинен бути завантажений файл виконуваного файлу, такі як додаток, спливаючі повідомлення попереджає користувача про те, коли вони намагаються відкрити файл.

HiddenLotus backdoor це новий варіант OceanLotus backdoor, який останній раз була помічена цього літа. У той час шкідливі програми було замаскованим під документ Microsoft Word, орієнтовані на користувачів, у В’єтнамі, однак, з тих пір маскування досягла вищого рівня.

Основна відмінність між двома варіантами шкідливих програм є той факт, що старіша версія приховані .app розширення, із зазначенням, що це було заяву, хоча на HiddenLotus має розширення. PDF та вирізняється без розширення .app.

На думку експертів, це, ймовірно, пов’язано з тим, що шкідливі програми використовує приховані розширення, де на мав ‘ в. PDF є дійсно Римської цифри були ‘ (яка представляє номер 500) в нижньому регістрі.

“Додаток не потрібно мають розширення .app повинні розглядатися як додатки. Заявку на macOS є фактично папки містить спеціальні внутрішньої структури, звані розшарування. Папка з правильний структури ще тільки папки, але якщо ви даєте йому розширення .app, це миттєво стає заявку,” дослідники говорять.

Через цей факт, Finder лікує папці як один файл і запускаємо програму після подвійного клацання, а не відкриваючи папку.

Після того, як користувач double-clicks папку або файл, LaunchServices розглядає розширення спочатку і відкрити елемент, якому відповідно, якщо він знає розширення.

Файли з розширенням. txt буде вкладено TextEdit за промовчанням. Таким чином, папка з .app розширення буде запущений як додаток, він повинен мати право внутрішню структуру.
Якщо розширення невідомий, користувач консультації при спробі відкрити файл, і вони можуть вибрати програму для відкриття файлу, або виконайте пошук Mac App Store.

Однак, коли двічі клацнувши папки містить невідоме розширення, LaunchServices потрапляє назад на дивлячись на структуру цієї папки розшарування.

Це як творець HiddenLotus використовує: крапельниці розташований у папці, яка має внутрішні bundle структуру програми. Через використання Римської цифри в розширення. PDF та як немає застосунку, зареєстровані, щоб відкрити його, система сприймає його як додаток, незважаючи на те, що вона має явні .app розширення.

Безпеки експерти відзначають, що існує величезний список можливих розширень, які хакерів може зловживати, особливо при використанні символи Unicode. Враховуючи цей факт, користувачі можуть легко маніпулювати відкривати файли, наприклад документи мімічних Word (. doc), Excel, електронні таблиці (. xls), сторінок документів (.pages) тощо

“це витончений трюк, але це як і раніше не збирається пройти файл карантину. Система буде попереджати вас, що те, що ви намагаєтеся відкрити це додаток. Якщо, звичайно, що ви відкриваєте був завантажені через застосунок, який не використовує API для, що правильно встановити прапор карантину на файл, як у випадку для деяких застосунках torrent” державних експертів.


Leave a Reply

Your email address will not be published. Required fields are marked *