macOS backdoor attacker användare via innovativa förklädnad metod

Computer Security News

En bakdörr version inriktning macOS enheter använder nu en innovativ metod för att täcka det faktum att det är en körbar fil. Enligt säkerhetsforskare, är det huvudsakliga syftet med den nya tekniken att undvika varna användare om dess utförande.

Bakdörr varianten kallas HiddenLotus, och den distribueras via ett program som heter Lê Thu Hà (HAEDC) .pdf, som är förklädd till en Adobe Acrobat-fil.

Tekniken som programmet använder för detta beteende inspirerar funktionen karantän infördes i Leopard (Mac OS X 10.5), där filer som laddas ner från Internet är märkta som karantän.

Bör den nedladdade filen en körbar fil, till exempel ett program, varnar ett popup-meddelande användaren på faktumen när de försöker öppna filen.

HiddenLotus bakdörr är en ny variant av OceanLotus bakdörr som sågs senast i sommar. På den tiden, malware var förklädd som en Microsoft Word-dokument som inriktning användare i Vietnam, men sedan dess förklädnad har nått en högre nivå.

Den största skillnaden mellan de två malware variantsna är det faktum att den äldre versionen hade en dold .app förlängning som anger att det var ett program, medan HiddenLotus har filnamnstillägget .pdf och har ingen .app förlängning.

Enligt experterna är detta sannolikt på grund av att den skadliga koden använder en dold förlängning, där de hade ‘ i .pdf är faktiskt den romerska siffran hade ‘ (som representerar numret 500) i gemener.

”En ansökan behöver inte har filnamnstillägget .app att behandlas som en ansökan. En ansökan om macOS är faktiskt en mapp med en speciell inre struktur som kallas en bunt. En mapp med rätt struktur är fortfarande bara en mapp, men om du ger det en .app förlängning, det blir omedelbart ett program ”, forskarna säger.

På grund av detta faktum, Finder behandlar mappen som en enda fil och lanserar det som ett program när användaren dubbelklickar, istället för att öppna mappen.

När användaren dubbelklickar på en mapp eller en fil, LaunchServices anser tillägget först och öppnas objektet med detta, om det vet förlängningen.

Filer med en .txt-tillägg kommer att öppnas med textredigerare som standard. Därför, en mapp med .app förlängning kommer att lanseras som ett program, bör det ha rätt interna struktur. Förlängningen är okända, användaren ska höras när du försöker öppna filen, och de kan välja ett program att öppna filen eller söka i Mac App Store.

Dock när du dubbelklickar på en mapp med en okänd utsträckande, faller LaunchServices tillbaka på tittar på mappens bunt struktur.

Detta är hur skaparen av HiddenLotus utnyttjar: pipetten är en mapp som har interna bunt strukturen för ett program. På grund av användning av romerska siffror i tillägget .pdf och som det finns inget program som registrerats för att öppna det, systemet behandlar det som en ansökan även om den inte har en kontrollampa .app förlängning.

Säkerhetsexperter Observera att det finns en enorm lista över eventuella förlängningar som hackare skulle kunna missbruka, särskilt när du använder Unicode-tecken. Med tanke på detta faktum, användare kan lätt manipuleras för att öppna filer som härma Word-dokument (.doc), Excel-kalkylblad (.xls), Pages-dokument (.pages), etc.

”Detta är ett snyggt trick, men det kommer fortfarande inte att komma förbi filkarantän. Systemet kommer att varna dig att vad du försöker öppna är ett program. Om inte, naturligtvis, vad du öppnar hämtades via ett program som inte använder API som korrekt inställda flaggan karantän i filen, som är fallet för vissa torrent appar ” experter staten.


Leave a Reply

Your email address will not be published. Required fields are marked *