بدافزار سامانه عامل مک از یک روش کلاه‌برداری خلاقانه استفاده می‌کند

کمیته رکن چهارم – شرکت Malwarebytes هشدار داد: «یک نسخه از بدافزار OceanLotus که سامانه‌ی عامل مک را هدف قرار می‌دهد، از یک روش خلاقانه برای پنهان کردن این حقیقت که یک پرونده‌ی اجرایی است، استفاده می‌کند تا از هشدار به کاربران درباره‌ی اجرای این بدافرار جلوگیری کند.»

این نسخه‌ی جدید HiddenLotus نامیده می‌شود و از طریق یک برنامه به نام Lê Thu Hà یا HAEDC که دارای پسوند پی‌دی‌اِف است و مانند یک پرونده‌ی ادوبی آکروبات به نظر می‌آید، توزیع می‌شود. این برنامه از یک روش قدیمی برای این رفتار استفاده می‌کند، در این روش از یکی از ویژگی‌های قرنطینه‌ی پرونده که در Leopard یا همان Mac OS X ۱۰.۵ معرفی شد و براساس آن پرونده‌های بارگیری‌شده از اینترنت با عنوان قرنطینه برچسب‌گذاری می‌شوند، استفاده می‌شود.

شرکت Malwarebytes گفت‌: «اگر پرونده‌ی بارگیری‌شده مانند یک برنامه قابل اجرا باشد، وقتی مهاجمان سعی کنند این پرونده را اجرا کنند، یک نوار بالاپر (پاپ‌آپ) به کاربر هشدار می‌دهد. تقریبا یک دهه از وجود ویژگی قرنطینه می‌گذرد، اما بدافزار همچنان به این‌که مانند اسناد به نظر برسد، ادامه می‌دهد.»

بدافزار HiddenLotus یک نسخه‌ی جدید از بدافزار OceanLotus است که آخرین بار در تابستان سال جاری به عنوان یک سند وُرد مایکروسافت دیده شد و کاربران ویتنامی را هدف قرار می‌دهد، این بدافزار جدید سطح جدیدی از تغییر ظاهر را به نمایش می‌گذارد. در حالی‌که بدافزار قبلی دارای یک پسوند .app مخفی بود که نشان می‌داد این پرونده یک برنامه است، HiddenLotus در واقع دارای یک پسوند .pdf است. هیچ پسوند .app در این بدافزار جدید وجود ندارد.

براساس کشف Arnaud Abbati، این مسأله ممکن است، زیرا این تهدید از یک پسوند مخفی استفاده می‌کند، به این صورت که حرف d در پسوند .pdf درواقع عدد رومی D به صورت حروف کوچک است (نشان‌دهنده‌ی شماره‌ی ۵۰۰).

شرکت Malwarebytes نوضیح داد: «یک برنامه برای این‌که بتواند مانند یک برنامه رفتار کند، نیازی نیست که دارای یک پسوند .app باشد. یک برنامه در سامانه عامل مک در واقع یک پوشه با یک ساختار داخلی خاص به نام باندل (bundle) است. یک پوشه با یک ساختار مناسب همچنان فقط یک پوشه است، اما اگر یک پسوند .app به آن بدهید، آن پوشه به سرعت به یک برنامه تبدیل می‌شود.»

به همین دلیل، کسی که این پوشه را می‌بیند با آن مانند یک پرونده‌ی واحد رفتار می‌کند و وقتی روی آن دوبار کلیک کرد، به جای باز کردن پوشه مانند یک برنامه آن‌را راه‌اندازی می‌کند.

هنگامی که کاربر روی یک پرونده یا پوشه دوبار کلیک کرد، LaunchServices ابتدا پسوند آن‌را بررسی می‌کند و در صورتی که پسوند آن را بشناسد، آن‌ پرونده یا پوشه را باز می‌کند. یک پرونده با پسوند .txt به صورت پیش‌فرض توسط یک برنامه‌ی TextEdit باز خواهد شد. بنابراین یک پوشه با پسوند .app نیز در صورتی که دارای ساختار داخلی درستی باشد، مانند یک برنامه راه‌اندازی خواهد شد.

اگر پسوند مورد بررسی ناشناس باشد، وقتی که کاربر تلاش می‌کند تا این پرونده را باز کند، با او مشورت می‌شود، و او می‌تواند یک برنامه برای باز کردن آن پرونده انتحاب کند و یا در فروشگاه برنامه‌ی مک جست‌وجو کند.

وقتی روی یک پوشه با پسوند ناشناس دو بار کلیک می‌شود، LaunchServices ساختار داخلی پوشه را مورد بررسی قرار می‌دهد.

این رفتاری است که نویسنده‌ی بدافزار HiddenLotus از آن استفاده می‌کند: نصب‌کننده یک پوشه است که ساختار داخلیِ یک برنامه را دارد. به خاطر استفاده از یک عدد رومی در پسوند .pdf و از آن‌جایی که برنامه‌ای روی دستگاه وجود ندارد که آن را باز کند، سامانه با آن مانند یک برنامه رفتار می‌کند، هرچند که این پوشه دارای یک پسوند .app نیست.

شرکت Malwarebytes گفت: «هیچ چیر خاصی درباره‌ی این پسوند .pdf وجود ندارد (با استفاده از عدد رومی d)، به جز این‌که تاکنون استفاده نشده است. هر پسوند دیگری که استفاده نشده نیز با این روش کار می‌کند.»

پژوهش‌گران امنیتی همچنین اشاره کردند: «فهرست گسترده‌ای از پسوندهای احتمالی وجود دارد که عاملان مخرب می‌توانند از آن‌ها سوءاستفاده کنند، مخصوصا وقتی از نویسه‌های یونی‌کد استفاده شود. به همین دلیل، ممکن است کاربران فریب بخورند و پرونده‌هایی را باز کنند که به ظاهر مانند اسناد وُرد (دارای پسوند .doc)، صفحه گسترده‌ی اکسل (دارای پسوند .xls)، اسناد Pages  (دارای پسوند .pages ) هستند.»

پژوهش‌گران همچنین اشاره کردند: «این یک ترفند خوب است، اما هنوز به روش قرنطینه‌ی پرونده‌ی گذشته نمی‌رسد. سامانه به شما هشدار خواهد داد که پوشه یا پرونده‌ای که شما سعی در باز کردن آن دارید یک برنامه است.»

منبع : news.asis.io