بدافزار سیستم‌عامل مک با روشی نوآورانه به کاربران حمله می‌کند

بدافزار جدیدی که سیستم‌عامل‌های مک را مورد هدف قرار داده است از روشی نوآورانه برای پنهان کردن فعالیت خود استفاده می‌کند. به گفته محققان امنیتی، هدف اصلی این تکنیک جدید، جلوگیری از اعلام هشدار به کاربران درباره اجرای این بدافزار است.
این روش جدید HiddenLotus  نامیده می‌شود و از طریق یک نرم‌افزار به نام Lê Thu Hà یا (HAEDC) که فرمت آن ها pdf است توزیع می‌شود.
این بدافزار از ویژگی فایل قرنطینه معرفی‌شده در Leopard (Mac OS X 10.5) استفاده می‌کند (طبق این ویژگی فایل‌های دانلود شده از اینترنت به‌عنوان قرنطینه برچسب‌گذاری می‌شوند). اگر فایل دانلود شده، یک برنامه اجرایی باشد وقتی مهاجمان سعی می‌کنند این پرونده را اجرا کنند، باید یک پاپ‌آپ هشدار به کاربر نشان داده شود.

بدافزار HiddenLotus  نوعی جدید از بدافزار OceanLotus  است. OceanLotus  در تابستان امسال به‌عنوان یک سند ورد مایکروسافت مشاهده شد و توانست کاربران ویتنامی را هدف قرار دهد.

تفاوت اصلی این دو نوع بدافزار، آن است که بدافزار قبلی دارای یک پسوند.app مخفی بود که نشان می‌داد این پرونده یک برنامه کاربردی است، درحالی‌که HiddenLotus پسوند.pdf دارد و هیچ پسوند.app در این بدافزار جدید وجود ندارد.

البته به گفته کارشناسان، به‌احتمال‌زیاد این بدافزار از یک پسوند پنهان برای فریب سیستم‌عامل مک استفاده می‌کند. همچنین یک برنامه کاربردی نیاز ندارد که حتما پسوند.app را داشته باشد. یک برنامه در سیستم‌عامل مک درواقع یک پوشه با یک ساختار داخلی خاص به نام بسته نرم‌افزاری است، اما اگر یک پسوند.app به آن بدهید، آن پوشه به‌سرعت به یک برنامه تبدیل می‌شود.

وقتی کاربران روی این پوشه دو بار کلیک می‌کنند به‌جای باز کردن پوشه، یک فایل اجرایی باز می‌شود.
هنگامی‌که کاربر دو بار بر روی یک پوشه با یک پسوند ناشناخته، کلیلک می کند LaunchServices ساختار داخلی پوشه را موردبررسی قرار می‌دهد. به خاطر استفاده از یک عدد رومی در پسوند.pdf و ازآنجایی‌که برنامه‌ای روی دستگاه وجود ندارد که آن را باز کند، سامانه با آن مانند یک برنامه رفتار می‌کند، هرچند که این پوشه دارای یک پسوند app. نیست.
کارشناسان امنیتی بیان کردند که لیست گسترده‌ای از پسوندهایی که هکرها می‌توانند از آن سوءاستفاده کنند، وجود دارد. با توجه به این واقعیت، کاربران می‌توانند به‌آسانی فریب بخورند و فایل‌هایی را باز کنند که به نظر می‌رسد اسناد وُرد (دارای پسوند.doc)، صفحه گسترده‌ی اکسل (دارای پسوند.xls)، اسناد Pages  (دارای پسوند.pages) هستند.

منبع:http://virusguides.com/macos-backdoor-attacks-users-via-innovative-disguise-method/

پاسخی بگذارید