بنا بر هشدار شرکت Malwarebytes، نسخه اي از بدافزار OceanLotus که هدفش سيستم عامل مک مي باشد، از روشي خلاقانه برای پنهان کردن این حقیقت که یک پرونده‌ی اجرایی است، استفاده می‌کند تا از هشدار به کاربران درباره‌ی اجرای این بدافزار جلوگیری نمايد. این نسخه‌ی جدید از بدافزار، HiddenLotus نامیده می‌شود و از طریق یک برنامه به نام Lê Thu Hà یا HAEDC که دارای پسوند pdf مي باشد، به نظر يك فايل adobe acrobat می‌آید، توزیع می‌شود. این برنامه از روشي قدیمی برای اهدافش استفاده می‌ نمايد، در این روش با استفاده از ویژگی‌های قرنطینه‌ی پرونده که در Leopard یا همان Mac OS X 10.5  معرفی شد و طبق آن پرونده‌های بارگیری‌شده از اینترنت با عنوان قرنطینه نشانه گذاري مي شوند، استفاده می‌شود. شرکت Malwarebytes گفت‌: «اگر پرونده‌ی بارگیری‌شده مانند یک برنامه قابل اجرا باشد، وقتی مهاجمان تلاش مي كنند این پرونده را اجرا کنند، یک نوار PopUp به کاربر هشدار و نمايش داده می‌شود. تقریبا یک دهه از وجود ویژگی قرنطینه می‌گذرد، اما بدافزار همچنان به این‌که مانند اسناد به نظر برسد، ادامه می‌دهد.»


بدافزار HiddenLotus یک نسخه‌ی جدید از بدافزار OceanLotus مي باشد که تابستان امسال، آخرین بار به عنوان یک سند word مایکروسافت دیده شد و هدف اصلي آن کاربران ویتنامی بود، این بدافزار جدید سطح جدیدی از تغییر ظاهر را به نمایش می‌گذارد. در حالی‌که بدافزار قبلی دارای یک پسوند .app مخفی بود که نشان می‌داد این پرونده یک برنامه است، HiddenLotus در واقع دارای یک پسوند .pdf است. هیچ پسوند .app در این بدافزار جدید وجود ندارد. طبق کشف Arnaud Abbati، این مسأله ممکن است، زیرا این تهدید از یک پسوند مخفی استفاده می‌نمايد، به این صورت که حرف d در پسوند .pdf درواقع عدد رومی D به صورت حروف کوچک است (نشان‌دهنده‌ی شماره‌ی ۵۰۰). بنا بر توضيحات شرکت Malwarebytes: «یک برنامه برای این‌که بتواند مانند یک برنامه رفتار کند، نیازی نیست که دارای یک پسوند .app باشد. یک برنامه در سيستم عامل مک در واقع یک پوشه با یک ساختار داخلی خاص به نام باندل (bundle) است. یک پوشه با یک ساختار مناسب همچنان فقط یک پوشه است، اما اگر یک پسوند .app به آن بدهید، آن پوشه به سرعت به یک برنامه تبدیل می‌شود.»
بنابراين، هنگامي كه کسی که این پوشه را می‌بیند با آن مانند یک پرونده رفتار می‌کند و وقتی روی آن دوبار کلیک کرد، به جای باز کردن پوشه مانند یک برنامه آن‌را راه‌اندازی و اجرا می‌کند، LaunchServices ابتدا پسوند آن‌را بررسی می‌کند و در صورتی که پسوند آن را بشناسد، آن‌ پرونده یا پوشه را باز می‌کند. یک پرونده با پسوند .txt به صورت پیش‌فرض توسط یک برنامه‌ی TextEdit باز خواهد شد. بنابراین یک پوشه با پسوند .app نیز در صورتی که دارای ساختار داخلی درستی باشد، مانند یک برنامه راه‌اندازی مي شود. در صورت ناشناس بودن، طي پيغامي به كاربر اطلاع داده مي شود كه اين پرونده توسط چه برنامه اي باز شود و یا در فروشگاه برنامه‌ی مک آن را جست‌وجو نمايد.
با كليك كردن روی یک پوشه با پسوند ناشناس، LaunchServices ساختار داخلی پوشه بررسي شده و اين همان راهي است كه بدافزار HiddenLotus از آن استفاده می‌کند: نصب‌کننده یک پوشه است که ساختار داخلیِ یک برنامه را دارد. به خاطر استفاده از یک عدد رومی در پسوند .pdf و از آن‌جایی که برنامه‌ای روی دستگاه وجود ندارد که آن را باز کند، سامانه با آن مانند یک برنامه رفتار می‌کند، هرچند که این پوشه دارای یک پسوند .app نیست. شرکت Malwarebytes گفت: «هیچ چیز خاصی درباره‌ی این پسوند .pdf وجود ندارد (با استفاده از عدد رومی d)، به جز این‌که تاکنون استفاده نشده است. هر پسوند دیگری که استفاده نشده نیز با این روش کار می‌کند.»
 بنا بر نظر محققين امنیتی «فهرست زيادي از پسوندهای احتمالی وجود دارد که مي توانند مورد سوء استفاده مهاجمين قرار گيرند، مخصوصا وقتی از كاراكترهای unicode استفاده شود. بنابراين احتمال فريب كاربران وجود دارد كه پرونده‌هایی را باز کنند که به ظاهر مانند اسناد word با پسوند doc، صفحه گسترده‌ی اکسل با پسوند xls، اسناد Pages  با پسوند pages هستند.»

  • 01.png
  • 02.png
  • 03.png
  • 04.png
  • 05.png
  • 06.png
  • 07.png
  • 08.png