Эксперты из Malwarebytes выявили новый вариант бэкдора OceanLotus для macOS – HiddenLotus. Как утверждают специалисты, бэкдор применяет инновационный метод маскировки.
Распространение бэкдора осуществляется посредством приложения Lê Thu Hà (HAEDC).pdf, которое замаскировано под файл Adobe Acrobat. Оно задействует функционал карантина, который впервые был добавлен в MacOS X 10.5 Leopard. Эта опция подразумевает запрос подтверждения у пользователя при открытии любых файлов, загруженных из интернета. При открытии исполняемого файла на экране появится соответствующее предупреждение.
Предыдущая версия OceanLotus была замаскирована под текстовый документ Word и имела скрытое расширение .app, но в HiddenLotus применяется формат .pdf. Исследователи выяснили, что хакеры заменили букву d в расширении .pdf на строчную римскую цифру D (число 500). В результате macOS распознает бэкдор как файл неизвестного формата.
Специалисты утверждают, что приложению не нужно иметь формат .app, чтобы операционная система распознала его как исполняемый файл. Приложения на macOS являются папками, имеющими свою специальную внутреннюю структуру, которая называется пакетом. Папка, имеющая правильную структуру, всё равно является простым каталогом, но при добавлении расширения .app она превращается в приложение.
При открытии файла или папки пользователем функция LaunchServices сначала осуществляет проверку расширения, а затем запускает файл посредством соответствующего ПО. Так, файл, имеющий расширение .txt, будет по умолчанию открыт через TextEdit. В результате папка с расширением .app при наличии правильной внутренней структуры будет запущена как приложение.
В том случае, если файл имеет неизвестный формат, система предложит пользователю выбрать уже имеющуюся программу для его запуска или же найти нужное приложение в Mac App Store. Открыв папку, имеющую неизвестное расширение, LaunchServices обращается к структуре пакетов в ней. Использование римской цифры в расширении .pdf приводит к тому, что система не может выбрать программу для открытия файла и воспринимает его как приложение, даже без наличия расширения .app.
По словам исследователей, есть большое количество вероятных расширений, которые могут быть использованы злоумышленниками, особенно с применением символов Unicode. Хакеры могут обманывать своих жертв, используя файлы, замаскированные под документы Office (.doc, .xls).