macOS serangan backdoor pengguna melalui metode inovatif menyamar

Computer Security News

Versi backdoor penargetan perangkat macOS sekarang menggunakan metode inovatif untuk menutupi kenyataan bahwa itu dieksekusi. Menurut peneliti keamanan, tujuan utama dari teknik baru adalah untuk menghindari memperingatkan pengguna pada pelaksanaannya.

Varian backdoor yang disebut HiddenLotus, dan didistribusikan melalui sebuah aplikasi bernama .pdf Le Thu Hà (HAEDC), yang menyamar sebagai file Adobe Acrobat.

Teknik yang menggunakan aplikasi untuk perilaku ini mengilhami fitur karantina file yang diperkenalkan di Leopard (Mac OS X 10.5), dimana file download dari Internet ditandai sebagai dikarantina.

File yang didownload harus dieksekusi, seperti aplikasi, pemberitahuan pop-up memperingatkan pengguna pada fakta ketika mereka mencoba untuk membuka file.

HiddenLotus backdoor adalah varian baru dari OceanLotus backdoor yang terakhir terlihat musim panas ini. Pada waktu itu, malware menyamar sebagai dokumen Microsoft Word yang menargetkan pengguna di Vietnam, namun, sejak itu penyamaran telah mencapai tingkat yang lebih tinggi.

Perbedaan utama antara dua varian malware adalah fakta bahwa versi perpanjangan .app tersembunyi yang menunjukkan bahwa itu adalah sebuah aplikasi, sementara HiddenLotus memiliki ekstensi .pdf dan memiliki ekstensi .app.

Menurut para ahli, hal ini mungkin karena fakta bahwa malware menggunakan ekstensi yang tersembunyi, dimana telah ‘ di .pdf benar-benar angka Romawi telah ‘ (mewakili nomor 500) dalam huruf kecil.

“Aplikasi tidak perlu memiliki ekstensi .app harus diperlakukan seperti aplikasi. Aplikasi pada macOS adalah benar-benar folder dengan struktur internal khusus yang disebut bundel. Folder dengan struktur yang tepat adalah masih hanya folder, tetapi jika Anda memberikan perpanjangan .app, langsung menjadi sebuah aplikasi,” para peneliti mengatakan.

Karena fakta ini, Finder memperlakukan folder sebagai file tunggal dan meluncurkan sebagai aplikasi ketika double-clicked, bukan membuka folder.

Setelah pengguna double-clicks folder atau file, LaunchServices menganggap ekstensi pertama dan membuka item yang sesuai, jika itu tahu ekstensi.

File dengan ekstensi .txt akan dibuka dengan TextEdit secara default. Oleh karena itu, folder dengan ekstensi .app akan diluncurkan sebagai aplikasi, harus memiliki struktur internal yang tepat.
Jika ekstensi tidak diketahui, pengguna berkonsultasi ketika mencoba untuk membuka file, dan mereka dapat memilih aplikasi untuk membuka file atau Cari Mac App Store.

Namun, ketika mengklik ganda folder dengan ekstensi tidak diketahui, LaunchServices jatuh kembali pada memandang bundel struktur folder.

Ini adalah bagaimana pencipta HiddenLotus memanfaatkan: penetes adalah folder yang memiliki struktur internal bundel dari aplikasi. Karena penggunaan angka Romawi dalam ekstensi .pdf dan sebagai tidak ada aplikasi yang terdaftar untuk membukanya, sistem memperlakukan itu sebagai aplikasi meskipun tidak memiliki ekstensi .app tanda.

Pakar keamanan dicatat bahwa ada daftar besar kemungkinan ekstensi hacker yang bisa penyalahgunaan, terutama bila menggunakan Unicode karakter. Mengingat fakta ini, pengguna dapat dengan mudah dimanipulasi untuk membuka file seperti mimic Word Document (.doc), Excel Spreadsheet (.xls), halaman dokumen (.pages), dll

“ini adalah trik yang rapi, tapi itu masih tidak akan melewati file karantina. Sistem akan mengingatkan Anda bahwa apa yang Anda coba untuk membuka adalah sebuah aplikasi. Kecuali, tentu saja, apa yang Anda membuka download melalui aplikasi yang tidak menggunakan api yang dikonfigurasi bendera karantina pada file, seperti halnya untuk beberapa aplikasi torrent,” keadaan ahli.


Leave a Reply

Your email address will not be published. Required fields are marked *