image

Mac-malware gebruikt unicode om zich te vermommen

zaterdag 9 december 2017, 09:32 door Redactie, 2 reacties

Onderzoekers hebben een malware-exemplaar voor macOS ontdekt dat een Romeins Unicode-karakter gebruikt om zich te vermommen. De malware in kwestie doet zich voor als een pdf-bestand en heeft ook .pdf als extensie. In werkelijkheid is het echter een applicatie, wat ook door de Finder wordt weergegeven.

De "d" in .pdf blijkt geen normale d te zijn, maar een Romeinse numerieke D in lowercase, die het getal 500 weergeeft. Daarnaast hoeft een Mac-applicatie niet .app als extensie te hebben om als applicatie te worden behandeld. Een applicatie in macOS is gewoon een map met een speciale interne structuur genaamd een bundle. Een map met de juiste structuur is nog steeds een map, maar wanneer het van de .app-extensie wordt voorzien, wordt het meteen een applicatie. De Finder behandelt het dan als een enkel bestand in plaats van een map, en het dubbelklikken start de applicatie in plaats van het openen van de map.

Bij het dubbelklikken op een bestand of map zal LaunchServices eerst naar de extensie kijken. In het geval van een bekende extensie wordt die met de bijbehorende applicatie geopend. Wanneer het om een bestand met een onbekende extensie gaat krijgt de gebruiker de vraag wat hij wil doen. Wanneer het echter om een map met een onbekende extensie gaat, kijkt LaunchServices eerst naar de bundle-structuur als die aanwezig is. In het geval van de nu ontdekte Mac-malware blijkt die over de juiste structuur van een app te beschikken. Doordat de malware in werkelijkheid een onbekende extensie heeft, kijkt LaunchService naar de interne structuur en beschouwt het daarom als een applicatie.

Gebruikers krijgen echter nog steeds een waarschuwing van macOS te zien of ze een applicatie willen openen die van het internet afkomstig is, zo laat anti-malwarebedrijf Malwarebytes weten. In het geval gebruikers het bestand toch openen kunnen ze met de HiddenLotus-backdoor besmet raken. Via deze backdoor hebben aanvallers toegang tot het systeem. HiddenLotus is volgens Malwarebytes een variant van de OceanLotus-backdoor die onder andere tegen Vietnamese Mac-gebruikers is ingezet.

Image

Reacties (2)
09-12-2017, 14:20 door Anoniem
HiddenLotus.A wordt geblokkeerd door XProtect.
Apple heeft dus al een update uitgegeven.
11-12-2017, 14:13 door Anoniem
Kijk dan ook niet (alleen) naar de extensie maar naar wat er achter staat als omschrijving (lijstweergave ipv icoonweergave inschakelen in findervensters).
Dan zie je namelijk geen pdf omschrijving maar iets van "Application" of zelfs unix executable.

In het geval gebruikers het bestand toch openen kunnen ze met de HiddenLotus-backdoor besmet raken. Via deze backdoor hebben aanvallers toegang tot het systeem.
Tja, "het systeem", dat is een wel erg brede omschrijving, het systeem is namelijk "de computer".
Maar naar het zich laat aanzien op basis van de analyses van de inspiring voorgangers zie ik niet waar het root acces zou kunnen krijgen als je netjes onder een standaard account werkt., anders dan je admin password invoeren wat je natuurlijk niet gaat doen als je een pdf denkt te openen.

Malware met een zeker phishing gehalte dat zwaar voor verbetering vatbaar is (al zien we dat liever niet natuurlijk).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.