macOS serangan tersebut pengguna melalui kaedah inovatif menyamar

Computer Security News

Versi tersebut yang menyasarkan peranti macOS sekarang menggunakan kaedah yang inovatif untuk menutup hakikat bahawa ia adalah boleh laku. Menurut penyelidik Keselamatan, tujuan utama teknik baru ini adalah untuk mengelakkan menyedarkan pengguna pada pelaksanaannya.

Varian tersebut yang dipanggil HiddenLotus, dan Ia diedarkan melalui permohonan dinamakan .pdf Lê Kha Hà (HAEDC), yang menyamar sebagai fail Adobe Acrobat.

Teknik yang menggunakan aplikasi bagi tingkah laku ini memberi inspirasi ciri Kuarantin fail tersebut yang diperkenalkan pada Leopard (Mac OS X 10.5), di mana fail-fail yang dimuat turun dari Internet pasti ditandakan sebagai dikuarantin.

Fail yang dimuat turun perlu boleh laku, seperti permohonan, pemberitahuan pop-up amaran pengguna mengenai fakta apabila mereka cuba untuk membuka fail.

HiddenLotus yang tersebut adalah variasi baru OceanLotus yang tersebut yang buat pembantunya pada musim panas ini. Pada masa itu, dengan perisian berniat jahat telah menyamar sebagai dokumen Microsoft Word mensasarkan pengguna di Vietnam, Walau bagaimanapun, semenjak itu menyamar yang telah mencapai tahap yang lebih tinggi.

Perbezaan utama di antara dua versi perisian berniat jahat ialah hakikat bahawa versi yang lebih tua mempunyai sambungan .app tersembunyi yang menunjukkan bahawa ia adalah satu aplikasi, manakala HiddenLotus yang menyediakan sambungan .pdf dan tiada sambungan .app.

Menurut pakar, ini adalah mungkin disebabkan oleh hakikat bahawa perisian yang berniat jahat menggunakan sambungan yang tersembunyi, di mana ini telah ‘ di .pdf yang sebenarnya nombor Roman telah ‘ (mewakili Jumlah 500) di kecil.

“Permohonan tidak perlu mempunyai sambungan .app dianggap seperti permohonan. Borang permohonan macOS adalah sebenarnya folder dengan struktur dalaman khas yang dikenali sebagai pakej. Folder dengan struktur yang sesuai adalah masih hanya folder, tetapi jika anda memberikan pelanjutan .app, ia dengan serta-merta menjadi sesuatu permohonan,” penyelidik mengatakan.

Disebabkan oleh fakta ini, pencari melayan folder sebagai fail tunggal dan melancarkan ia sebagai permohonan apabila double-clicked, dan bukannya membuka folder.

Sebaik sahaja pengguna double-clicks satu folder atau fail, LaunchServices menganggap pelanjutan pertama dan membuka item Sehubungan dengan itu, jika ia tahu sambungan.

Fail dengan sambungan .txt akan dibuka dengan TextEdit secara lalai. Oleh yang demikian, folder dengan sambungan .app akan dilancarkan sebagai aplikasi, ia harus mempunyai struktur dalaman yang betul-betul. Dalam kes sambungan itu tidak diketahui, pengguna berunding semasa cubaan untuk membuka fail, dan mereka boleh memilih permohonan untuk membuka fail atau Cari Mac App Store.

Walau bagaimanapun, apabila dwi-klik folder dengan sambungan yang tidak dikenali, LaunchServices jatuh kembali pada melihat struktur pakej folder itu.

Ini adalah bagaimana memanfaatkan pencipta HiddenLotus: penetes ini adalah folder yang mempunyai struktur dalaman pakej aplikasi. Kerana penggunaan nombor Roman pada sambungan .pdf dan sebagai terdapat aplikasi yang berdaftar untuk membukanya, sistem menganggap ia sebagai suatu permohonan walaupun ia tidak mempunyai sambungan .app tanda.

Pakar Keselamatan ambil perhatian bahawa terdapat senarai besar mungkin sambungan penggodam yang dapat menyalahgunakan, terutamanya apabila menggunakan aksara Unikod. Memandangkan hakikat ini, pengguna dapat dengan mudah dimanipulasi untuk membuka fail seperti dokumen Word mimic (.doc), Excel hamparan (.xls), muka surat dokumen (.pages), dan sebagainya

“ini adalah trick kemas, tetapi ia masih tidak akan dapat melepasi Kuarantin fail. Sistem akan memberitahu anda bahawa apa yang anda cuba untuk membuka adalah aplikasi. Melainkan sudah tentu, apa yang anda sedang buka dimuat turun melalui aplikasi yang tidak menggunakan api yang betul set bendera Kuarantin pada fail itu, seperti halnya bagi sesetengah aplikasi torrent,” keadaan pakar.


Leave a Reply

Your email address will not be published. Required fields are marked *