By | December 12, 2017

גירסה אחורית מיקוד התקנים macOS היא עכשיו באמצעות שיטה חדשנית כדי לכסות את העובדה שזה קובץ הפעלה. על פי חוקרי האבטחה, המטרה העיקרית של טכניקה חדשה הוא להימנע להזהיר משתמשים על ביצועו.

Variant אחורית נקרא HiddenLotus, והוא זה מופץ באמצעות יישום בשם .pdf Hà ה’ Lê (HAEDC), אשר המוסווה כקובץ Adobe Acrobat.

הטכניקה שבה היישום משתמש אופן פעולה זה מעורר התכונה הסגר קובץ הציג נמר (Mac OS X 10.5), היכן מתויגים קבצים שהורדו מהאינטרנט כפי להסגר.

הקובץ שהורדת יהיה קובץ הפעלה, כגון יישום, הודעה מוקפצת מזהירה את המשתמש על העובדה כשהם מנסים לפתוח את הקובץ.

HiddenLotus “דלת אחורית” הוא גרסה חדשה של OceanLotus דלת אחורית אשר נראה לאחרונה בקיץ הזה. באותו הזמן, התוכנה הזדונית היה מחופש מסמך של Microsoft Word פילוח המשתמשים בווייטנאם, עם זאת, מאז התחפושת הגיעה לרמה גבוהה יותר.

ההבדל העיקרי בין שתי גרסאות תוכנה זדונית היא העובדה כי הגירסה הקודמת הייתה סיומת האפליקציה מוסתר המציין כי זה היה יישום, כל עוד HiddenLotus יש סיומת pdf וכולל אין סיומת האפליקציה.

לפי דעת המומחים, זה סביר בשל העובדה כי התוכנה הזדונית משתמשת סיומת מוסתרים, איפה היו ‘ ב- .pdf הוא למעשה הספרה הרומית היה לי ‘ (המייצג את מספר 500) באותיות.

“יישום לא צריך להיות בעל סיומת. האפליקציה יטופלו כמו יישום. יישום ב macOS הוא למעשה תיקיה עם מבנה פנימי מיוחד בשם צרור. תיקיה עם המבנה הנכון הוא עדיין רק תיקיה, אבל אם אתה נותן אותה סיומת. יישום, הוא הופך באופן מיידי יישום,” אומרים החוקרים.

בשל עובדה זו, מהבורר מתייחס התיקיה כקובץ יחיד, משיקה זה כיישום בעת לחיצה פעמיים עליהם, במקום לפתוח את התיקיה.

כאשר המשתמש לוחץ פעמיים תיקיה או קובץ, LaunchServices רואה את הסיומת קודם, פותחת את הפריט בהתאם, אם הוא יודע את הסיומת.

קבצים עם סיומות. txt תיפתח עם TextEdit כברירת מחדל. לכן, תיקיה עם הסיומת. האפליקציה יושק כיישום, צריך זה המבנה הפנימי נכון.
למקרה שהסיומת אינה מוכרת, המשתמש כשיאותר בעת ניסיון לפתוח את הקובץ, הם יכולים לבחור יישום כדי לפתוח את הקובץ או חיפוש Mac App Store.

עם זאת, בעת לחיצה כפולה על תיקייה עם סיומת לא מוכרת, LaunchServices נופל על להסתכל על מבנה צרור של התיקיה.

. זה איך ממנף את היוצר של HiddenLotus: טפטפת הוא תיקיה אשר יש לה מבנה פנימי צרור של יישום. בשל השימוש רומית בסיומת .pdf, כמו יישום רשום כדי לפתוח אותו, המערכת מתייחס אליו כאל יישום למרות שאין סיומת האפליקציה המקדימים.

מומחי אבטחה שימו לב כי יש רשימה ענקית של הרחבות אפשריות שבה האקר יכול להתעלל, במיוחד כאשר באמצעות תווי Unicode. בהתחשב בעובדה זו, משתמשים אפשר בקלות לשנות אותם כדי לפתוח קבצים כגון מסמכי Word מחקים (. doc), Excel אלקטרוניים (. xls), דפי מסמכים (.pages), וכו ‘

“זה טריק נחמד, אבל זה עדיין לא הולך לעבור קובץ הסגר. המערכת תתריע בפניך כי מה אתה מנסה לפתוח הוא יישום. אלא אם, כמובן, מה שאתה פותח שהורד באמצעות יישום שאינו משתמש ממשקי תיכנות היישומים של זה להגדיר כהלכה את הדגל הסגר על הקובץ, כמו במקרה של כמה apps torrent,” המדינה מומחים.

Leave a Reply

Your email address will not be published. Required fields are marked *