Бэкдор HiddenLotus для macOS использует инновационную технику маскировки

image

Теги: бэкдор, OceanLotus, macOS

Вредоносный файл замаскирован под документ с расширением .pdf.

Исследователи безопасности из компании Malwarebytes обнаружили новую версию бэкдора OceanLotus для macOS, получившую название HiddenLotus. По словам исследователей, бэкдор использует инновационную технику маскировки.

Бэкдор распространяется через приложение Lê Thu Hà (HAEDC).pdf, замаскированное под файл Adobe Acrobat. Приложение эксплуатирует функцию карантина, впервые появившуюся в MacOS X 10.5 Leopard, запрашивающую подтверждение у пользователя при открытии любых файлов, загруженных через интернет. При попытке открыть исполняемый файл на экране появляется всплывающее уведомление, предупреждающее пользователя о данном факте.

Предыдущая версия OceanLotus маскировалась под документ Microsoft Word и имела скрытое расширение .app, однако в HiddenLotus используется расширение .pdf. Как выяснилось в ходе исследования, буква d в расширении заменена строчной римской цифрой D (число 500). Таким образом операционная система распознает бэкдор как файл с неизвестным расширением.

Эксперты пояснили, что приложение не нуждается в расширении .app, чтобы операционная система распознавала его как исполняемый файл. "Приложения на macOS на самом деле представляют собой папки со специальной внутренней структурой, называемой пакетом. Папка с правильной структурой по-прежнему остается папкой, но если добавить расширение .app, она превретится в приложение", - отметили исследователи.

Когда пользователь открывает файл или папку, функционал LaunchServices сначала проверяет расширение и открывает его с помощью соответствующей программы, например, файл с расширением .txt будет по умолчанию открыт с помощью TextEdit. Таким образом, папка с расширением .app будет запущена как приложение, если она имеет правильную внутреннюю структуру.

Если расширение неизвестно, система предложит пользователю выбрать уже установленное приложение для запуска файла или найти его в Mac App Store. При открытии папки с неизвестным расширением LaunchServices обращается к структуре пакетов в папке. Из-за использования римской цифры в расширении .pdf система не может найти программу для его открытия и рассматривает его как приложение, даже если у него нет расширения .app.

Как отметили исследователи, существует множество возможных расширений, которые злоумышленники могут эксплуатировать, особенно при использовании символов Unicode. Пользователи могут быть обмануты с помощью файлов, маскирующихся под документы Word (.doc), электронные таблицы Excel (.xls), документы страниц (.pages) и пр.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus