Onderzoekers hebben een malware-exemplaar voor macOS ontdekt dat een Romeins Unicode-karakter gebruikt om zich te vermommen. De malware in kwestie doet zich voor als een pdf-bestand en heeft ook .pdf als extensie. In werkelijkheid is het echter een applicatie, wat ook door de Finder wordt weergegeven.
De "d" in .pdf blijkt geen normale d te zijn, maar een Romeinse numerieke D in lowercase, die het getal 500 weergeeft. Daarnaast hoeft een Mac-applicatie niet .app als extensie te hebben om als applicatie te worden behandeld. Een applicatie in macOS is gewoon een map met een speciale interne structuur genaamd een bundle. Een map met de juiste structuur is nog steeds een map, maar wanneer het van de .app-extensie wordt voorzien, wordt het meteen een applicatie. De Finder behandelt het dan als een enkel bestand in plaats van een map, en het dubbelklikken start de applicatie in plaats van het openen van de map.
Bij het dubbelklikken op een bestand of map zal LaunchServices eerst naar de extensie kijken. In het geval van een bekende extensie wordt die met de bijbehorende applicatie geopend. Wanneer het om een bestand met een onbekende extensie gaat krijgt de gebruiker de vraag wat hij wil doen. Wanneer het echter om een map met een onbekende extensie gaat, kijkt LaunchServices eerst naar de bundle-structuur als die aanwezig is. In het geval van de nu ontdekte Mac-malware blijkt die over de juiste structuur van een app te beschikken. Doordat de malware in werkelijkheid een onbekende extensie heeft, kijkt LaunchService naar de interne structuur en beschouwt het daarom als een applicatie.
Gebruikers krijgen echter nog steeds een waarschuwing van macOS te zien of ze een applicatie willen openen die van het internet afkomstig is, zo laat anti-malwarebedrijf Malwarebytes weten. In het geval gebruikers het bestand toch openen kunnen ze met de HiddenLotus-backdoor besmet raken. Via deze backdoor hebben aanvallers toegang tot het systeem. HiddenLotus is volgens Malwarebytes een variant van de OceanLotus-backdoor die onder andere tegen Vietnamese Mac-gebruikers is ingezet.
Deze posting is gelocked. Reageren is niet meer mogelijk.