macOS cuộc tấn công backdoor người dùng thông qua phương pháp sáng tạo ngụy trang

Computer Security News

Một phiên bản backdoor nhắm mục tiêu theo thiết bị macOS bây giờ là sử dụng một phương pháp sáng tạo để trang trải một thực tế rằng đó là một tập tin thực thi. Theo các nhà nghiên cứu bảo mật, mục đích chính của các kỹ thuật mới là để tránh cảnh báo cho người dùng trên thực hiện nó.

Các biến thể backdoor được gọi là HiddenLotus, và nó được phân phối thông qua một ứng dụng tên là Lê Thu Hà (HAEDC) .pdf, đó cải trang như là một tập tin Adobe Acrobat.

Kỹ thuật ứng dụng sử dụng cho hành vi này truyền cảm hứng cho các tính năng kiểm dịch tệp đã giới thiệu Leopard (Mac OS X 10.5), nơi các tập tin tải về từ Internet được gắn thẻ như cách ly.

Nên các tập tin đã tải về là một tập tin thực thi, chẳng hạn như một ứng dụng, cửa sổ pop-up thông báo cảnh báo người dùng trên thực tế khi họ cố gắng để mở tập tin.

HiddenLotus backdoor là một biến thể mới của OceanLotus backdoor cuối đã được phát hiện vào mùa hè này. Tại thời điểm đó, phần mềm độc hại được ngụy trang như là một tài liệu Microsoft Word nhắm mục tiêu người dùng ở Việt Nam, Tuy nhiên, kể từ đó những ngụy trang đã đạt đến một mức độ cao hơn.

Sự khác biệt chính giữa hai phiên bản phần mềm độc hại là một thực tế rằng các phiên bản cũ đã chỉ ra rằng nó là một ứng dụng, trong khi HiddenLotus có một phần mở rộng .pdf và tính năng không có phần mở rộng ứng dụng tiện ích mở rộng ứng dụng ẩn.

Theo các chuyên gia, điều này là có khả năng do thực tế là phần mềm độc hại sử dụng một phần mở rộng ẩn, nơi của có ‘ ở .pdf trên thực tế chữ số La Mã có ‘ (đại diện cho số 500) trong chữ thường.

“Ứng dụng không cần phải có một ứng dụng tiện ích mở rộng được đối xử giống như một ứng dụng. Một ứng dụng trên macOS là thực sự là một thư mục với một cơ cấu nội bộ đặc biệt được gọi là một bó. Một thư mục với các cấu trúc đúng là vẫn chỉ là một thư mục, nhưng nếu bạn cho nó một phần mở rộng ứng dụng, nó ngay lập tức sẽ trở thành một ứng dụng,” các nhà nghiên cứu nói.

Do thực tế này, các công cụ tìm xử lý các thư mục là một file duy nhất và ra mắt nó như là một ứng dụng khi bắt, thay vì mở thư mục.

Một khi người dùng double-clicks một thư mục hoặc một tập tin, LaunchServices sẽ xem xét mở rộng lần đầu tiên và mở mục cho phù hợp, nếu nó biết phần mở rộng.

Các tập tin với phần mở rộng .txt sẽ được mở ra với TextEdit theo mặc định. Vì vậy, một thư mục có phần mở rộng ứng dụng sẽ được đưa ra như là một ứng dụng, nên nó có cấu trúc bên trong ngay.
Trong trường hợp phần mở rộng không xác định, người sử dụng tham khảo ý kiến khi cố gắng để mở tập tin, và họ có thể chọn một ứng dụng để mở các tập tin hoặc tìm Mac App Store.

Tuy nhiên, khi bấm-đúp vào một thư mục với một phần mở rộng không rõ, LaunchServices rơi trở lại vào nhìn vào cấu trúc của thư mục gói.

Điều này là làm thế nào thúc đẩy của tác giả của HiddenLotus: giọt là một cặp có cấu trúc bên trong bó của ứng dụng. Do việc sử dụng một chữ số La Mã trong phần mở rộng .pdf và như không có ứng dụng đã đăng ký để mở nó, Hệ thống xử lý nó như là một ứng dụng ngay cả khi nó không có một phần mở rộng ứng dụng telltale.

Các chuyên gia bảo mật lưu ý rằng có một danh sách lớn các tiện ích mở rộng có thể mà tin tặc có thể lạm dụng, đặc biệt là khi sử dụng ký tự Unicode. Xem xét thực tế này, người dùng có thể được chế tác một cách dễ dàng để mở các tập tin như Word mimic (.doc), Excel bảng tính (.xls), các trang tài liệu (.pages), vv

“đây là một lừa gọn gàng, nhưng nó vẫn sẽ không nhận được quá khứ tập tin kiểm dịch. Hệ thống sẽ cảnh báo bạn rằng những gì bạn đang cố gắng mở là một ứng dụng. Trừ khi, tất nhiên, những gì bạn đang mở đã được tải xuống thông qua một ứng dụng không sử dụng các API đặt đúng cách ly kỳ trên các tập tin, như là trường hợp cho một số ứng dụng torrent,” nhà nước của các chuyên gia.


Leave a Reply

Your email address will not be published. Required fields are marked *