События

Бэкдор HiddenLotus для macOS использует инновационную технику маскировки

Исследователи безопасности из компании Malwarebytes обнаружили новую версию бэкдора OceanLotus для macOS, получившую название HiddenLotus. По словам исследователей, бэкдор использует инновационную технику маскировки.

Бэкдор распространяется через приложение Lê Thu Hà (HAEDC).pdf, замаскированное под файл Adobe Acrobat. Приложение эксплуатирует функцию карантина, впервые появившуюся в MacOS X 10.5 Leopard, запашивающую подтверждение у пользователя при открытии любых файлов, загруженных через интернет. При попытке открыть исполняемый файл на экране появляется всплывающее уведомление, предупреждающее пользователя о данном факте.

Предыдущая версия OceanLotus маскировалась под документ Microsoft Word и имела скрытое расширение .app, однако в HiddenLotus используется расширение .pdf. Как выяснилось в ходе исследования, буква d в расширении заменена строчной римской цифрой D (число 500). Таким образом операционная система распознает бэкдор как файл с неизвестным расширением.

Эксперты пояснили, что приложение не нуждается в расширении .app, чтобы операционная система распознавала его как исполняемый файл. "Приложения на macOS на самом деле представляют собой папки со специальной внутренней структурой, называемой пакетом. Папка с правильной структурой по-прежнему остается папкой, но если добавить расширение .app, она превретится в приложение", - отметили исследователи.

Когда пользователь открывает файл или папку, функционал LaunchServices сначала проверяет расширение и открывает его с помощью соответствующей программы, например, файл с расширением .txt будет по умолчанию открыт с помощью TextEdit. Таким образом, папка с расширением .app будет запущена как приложение, если она имеет правильную внутреннюю структуру.

Если расширение неизвестно, система предложит пользователю выбрать уже установленное приложение для запуска файла или найти его в Mac App Store. При открытии папки с неизвестным расширением LaunchServices обращается к структуре пакетов в папке. Из-за использования римской цифры в расширении .pdf система не может найти программу для его открытия и рассматривает его как приложение, даже если у него нет расширения .app.

Как отметили исследователи, существует множество возможных расширений, которые злоумышленники могут эксплуатировать, особенно при использовании символов Unicode. Пользователи могут быть обмануты с помощью файлов, маскирующихся под документы Word (.doc), электронные таблицы Excel (.xls), документы страниц (.pages) и пр.

Источник

Автор: Сергей Куприянов
12.12.2017 (18:39)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2018

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.