macOS backdoor saldırılara kullanıcı yolu ile yenilikçi kılık değiştirme yöntemi

Computer Security News

macOS cihazları hedefleyen bir arka kapı versiyonu şimdi aslında bu bir yürütülebilir dosya kapsayacak bir yöntem kullanıyor. Güvenlik araştırma göre yeni teknik temel amacı, yürütme üzerindeki kullanıcıları uyaran engel olmaktır.

Arka kapı değişken HiddenLotus denir ve bir Adobe Acrobat dosyası olarak gizlenmiş Indochinese Per Hà (HAEDC) .pdf adlı bir uygulama aracılığıyla dağıtılmıştır.

Bu davranış için uygulamanın kullandığı teknik Leopard (Mac OS X 10.5), internetten indirilen dosyaları karantinaya gibi nerede etiketlenir tanıttı dosya karantina özelliği ilham veriyor.

Dosyayı açmaya çalıştıklarında belgili tanımlık downloaded eğe-meli var olmak gibi bir uygulama, bir yürütülebilir dosya açılır pencere bildirimi aslında kullanıcıyı uyarır.

Arka kapı HiddenLotus bu yaz son görülmüş arka kapı OceanLotus yeni bir varyant değil. O zaman, belgili tanımlık malware Vietnam kullanıcıları hedef Microsoft Word belgesi olarak kılığındaydı, ancak, o zamandan beri kılık değiştirdiğim daha yüksek bir seviyeye ulaştı.

İki kötü amaçlı yazılım modeli arasındaki temel fark eski sürümü HiddenLotus bir .pdf uzantısına sahiptir ve .app uzantısı özellikleri bir uygulama olmadığını gösteren bir gizli .app uzantısı vardı gerçektir.

Kötü amaçlı yazılım gizli bir uzantısı kullanır nedeniyle aslında bu uzmanlara göre bu büyük olasılıkla nerede vardı ‘.pdf olarak Romen rakamı aslında vardı ‘ (500 gösteren) küçük.

“Bir uygulama gibi bir uygulama tedavi olmak için .app uzantısı olması gerekmez. Aslında bir paket adı verilen özel bir iç yapısı ile bir klasör macOS bir uygulamadır. Bir doğru yapısı ile hala sadece bir klasör ise, ama eğer sen vermek o bir .app uzantısı, anında bir uygulama olur” araştırmacılar söylüyorlar.

Bu gerçeği nedeniyle Bulucu klasörü tek bir dosya olarak değerlendirir ve bir uygulama başlattı ne zaman çift tıklatıldığında, klasörü açmak yerine.

Bir kez kullanıcı bir klasör veya bir dosyayı çift tıkladığında, LaunchServices uzantısı ilk dikkate alır ve uzantının bilen varsa buna göre öğeyi aç.

Bir .txt uzantılı dosyalar ile TextEdit varsayılan olarak açılır. Bu nedenle, .app uzantısı ile bir klasör şu iç yapıya sahip olmalıdır bir uygulama olarak piyasaya sunulacak. Uzantısı bilinmeyen olması durumunda, kullanıcı dosyayı açmaya çalışırken doğar ve dosyayı açın veya Mac App Store arama için bir uygulama seçebilirsiniz.

Ancak, bilinmeyen bir uzantısı olan bir klasörü çift tıklamak zaman, LaunchServices geri klasörün paket yapısına bakarak düşüyor.

Bu nasıl HiddenLotus yaratıcısı güçlendirir: damlalık bir uygulama iç paket yapısını içeren bir klasördür. Romen .pdf uzantısını ve olarak kullanımı nedeniyle açmak için kayıtlı uygulama yok, sahte .app uzantısı yok olsa bile sistem bir uygulama olarak davranır.

Güvenlik uzmanları mümkün uzantıları hangi bilgisayar korsanları, özellikle Unicode karakterler kullanılarak kötüye büyük bir liste değildir. Bu gerçeği göz önüne alındığında, kullanıcılar kolayca manipüle kopyalama Word belgesi (.doc) gibi dosyaları açmak için Excel elektronik tabloları (.xls), sayfalar belgeleri (.pages), vb

“Bu harika bir numara, ama o hala dosya karantina almak için gitmiyor. Belgili tanımlık sistem-ecek dikkatli sen açmaya çalıştığınız bir uygulama olduğunu. Tabii ki, açmakta olduğunuz bazı sel apps için olduğu gibi düzgün dosya üzerinde karantina bayrağı küme API kullanmaz bir uygulama üzerinden karşıdan yüklendiği sürece” uzmanlar devlet.


Leave a Reply

Your email address will not be published. Required fields are marked *