Mac World

Новый троян для Mac использует трюк с названиями файлов

4
2

Разработчик антивирусных решений F-Secure обнаружил новый вредоносный код для OS X, использующий поддельную систему инсталляции и маскирующегося под стандартные файлы системы, сообщает CyberSecurity. В «зловреде» используются спецсимволы Юникода в названии файла, что позволяет «вредоносу» визуально отображаться на Mac как стандартный файл документов.
troyan-new-3

В отличие от Windows, где система полагается только на расширение файла для определения типа файла и замена расширения на .doc или .pdf уже позволяет ассоциировать код с соответствующим типом приложения, в Mac OS X этот трюк не проходит и Finder выявляет типы файлов не по расширению, а по начальной последовательности структуры. Однако трюк со спецсимволами Юникода позволяет обмануть и этот подход. Технически, узнать истинную природу файла можно в Терминале, однако 99% пользователей Mac им не пользуются для навигации по файловой системе.

troyan-new-1

Чтобы обмануть пользователей, злоумышленники добавляли в название символ Юникода U+202e или так называемый перевод каретки в RLO и надежно прятали истинное расширение .app приложения, подставляя вместо него что-то более безобидно, например .doc или .rtf. Таким образом, в ОС новый файл для пользователя детектировался как текстовый или PDF, но при этом он не терял своей бинарно-вредоносной природы.

По словам представителей F-Secure, внутри файла находится вредоносный код Backdoor:Python/Janicab.A, открывающий доступ к пользовательскому компьютеру для установки других вирусов.

troyan-new-3

Новый «зловред» является достаточно оригинальным. F-Secure уже передала данные о нем в Apple, чтобы компания добавила в операционную систему соответствующие механизмы защиты. В компании заявили, что против данной атаки может частично помочь система Gatekeeper, встроенная в Mac OS X.

4 комментария

Написать комментарий