Mac-malware gebruikt unicode om zich te vermommen
Onderzoekers hebben een malware-exemplaar voor macOS ontdekt dat een Romeins Unicode-karakter gebruikt om zich te vermommen. De malware in kwestie doet zich voor als een pdf-bestand en heeft ook .pdf als extensie. In werkelijkheid is het echter een applicatie, wat ook door de Finder wordt weergegeven.
De "d" in .pdf blijkt geen normale d te zijn, maar een Romeinse numerieke D in lowercase, die het getal 500 weergeeft. Daarnaast hoeft een Mac-applicatie niet .app als extensie te hebben om als applicatie te worden behandeld. Een applicatie in macOS is gewoon een map met een speciale interne structuur genaamd een bundle. Een map met de juiste structuur is nog steeds een map, maar wanneer het van de .app-extensie wordt voorzien, wordt het meteen een applicatie. De Finder behandelt het dan als een enkel bestand in plaats van een map, en het dubbelklikken start de applicatie in plaats van het openen van de map.
Bij het dubbelklikken op een bestand of map zal LaunchServices eerst naar de extensie kijken. In het geval van een bekende extensie wordt die met de bijbehorende applicatie geopend. Wanneer het om een bestand met een onbekende extensie gaat krijgt de gebruiker de vraag wat hij wil doen. Wanneer het echter om een map met een onbekende extensie gaat, kijkt LaunchServices eerst naar de bundle-structuur als die aanwezig is. In het geval van de nu ontdekte Mac-malware blijkt die over de juiste structuur van een app te beschikken. Doordat de malware in werkelijkheid een onbekende extensie heeft, kijkt LaunchService naar de interne structuur en beschouwt het daarom als een applicatie.
Gebruikers krijgen echter nog steeds een waarschuwing van macOS te zien of ze een applicatie willen openen die van het internet afkomstig is, zo laat anti-malwarebedrijf Malwarebytes weten. In het geval gebruikers het bestand toch openen kunnen ze met de HiddenLotus-backdoor besmet raken. Via deze backdoor hebben aanvallers toegang tot het systeem. HiddenLotus is volgens Malwarebytes een variant van de OceanLotus-backdoor die onder andere tegen Vietnamese Mac-gebruikers is ingezet.
Apple heeft dus al een update uitgegeven.
Dan zie je namelijk geen pdf omschrijving maar iets van "Application" of zelfs unix executable.
Maar naar het zich laat aanzien op basis van de analyses van de inspiring voorgangers zie ik niet waar het root acces zou kunnen krijgen als je netjes onder een standaard account werkt., anders dan je admin password invoeren wat je natuurlijk niet gaat doen als je een pdf denkt te openen.
Malware met een zeker phishing gehalte dat zwaar voor verbetering vatbaar is (al zien we dat liever niet natuurlijk).
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
