El malware de Mac utiliza la explotación de derecha a izquierda

Mira esta ventana confusa. A primera vista, el mensaje parece contener tonterías, pero en realidad se puede leer si comienza por el lado derecho y lee todos los letreros que se mueven hacia la izquierda. El texto se muestra como tal, ya que tiene el prefijo de un carácter especial Unicode reemplazado de derecha a izquierda. La técnica se utiliza en malware para ocultar la extensión real del archivo iniciado. Tenga en cuenta que cuando escribe al revés, su ojo aún puede seleccionar la cadena "pdf", que puede ser suficiente para engañar a los no informantes para que aprueben el lanzamiento del archivo.

Esta pantalla de confirmación se inicia cuando uno hace clic en una pieza de malware que se encontró salvajemente hace poco más de una semana. Si elige ejecutarlo, se abre un archivo PDF engañoso para no despertar sospechas. Pero al mismo tiempo, la aplicación, que está firmada con un ID de desarrollador de Apple, se instala en el directorio de inicio y hace el trabajo cron para iniciarse en cada arranque. ¡Oculto!

  • bote de basura dice:

    Y todos me dijeron que OSX no tiene virus.

    • boracho dice:

      no es un virus ... es malware -_-

      • bote de basura dice:

        .ekoj a dellac s'tI .ffo dos, ho

        • boracho dice:

          mi culpa señor, no hay necesidad de filtrar. Después de todo, esto es Internet ... la ley de Poe y lo que tienes.

          • bote de basura dice:

            Lo siento, debe ser la sonrisa kawaii. Esas cosas me emocionaron. Estamos mintiendo
            Para aquellos que no lo saben, aludí a esto.
            Por cierto, ¿puedo insertar el carácter rtl en este cuadro? Vamos a averiguar.

          • bote de basura dice:

            Tenía que intentarlo una vez más.

      • makomk dice:

        La mayoría de los "virus" de Windows en los que Apple se basó para comercializar sus computadoras a personas sin conocimientos técnicos eran en realidad malware y no virus; no se parece a la mayoría de los usuarios para distinguir, y las infecciones de virus apropiadas reales en Windows fueron relativamente raras.

    • rostro dice:

      ¿Quizás la gente necesite empezar a decirte que necesitas una educación? Parece que no puede identificar qué es un virus.

      • bote de basura dice:

        ¿Quizás la gente necesite empezar a decirte que necesitas una educación? Parece que no puedes identificar qué es una broma.

        • Yarr dice:

          Es una cara desagradable, todo lo que hace es romper los comentarios para cagar en todo lo que hacen los demás. Un hombre necesita menos educación y más esterilización, de verdad.

          • LocoDragónSeñor dice:

            Recuerden la ley de Wheaton, niños.

          • Alex dice:

            Recuerdo cuando la-tecnologia dijo que moderarían los comentarios.

            * suspiro *

            Quizás si les doy medio millón de dólares, lo hagan.

    • Entrada dura de Rui Nelson a Magalhães Carneiro dice:

      Es un troyano.

      Y, de forma predeterminada, OSX ni siquiera mostrará ese consejo, simplemente no abrirá esa aplicación porque no proviene de una fuente confiable (de Apple) ni se descargó de la Mac App Store. Por supuesto, para los usuarios experimentados parece innecesario, como un antivirus, pero para las computadoras promedio de Joe o empresas, es mejor.

      • Henrik Pedersen dice:

        A menos que presione CTRL y seleccione Abrir cuando tenga la opción de ejecutarlo de todos modos. Mucho más inteligente que UAC.

  • Tim Hicks dice:

    También he visto que este exploit se usa para mostrar extensiones de archivo falsas cuando están ocultas por defecto en Windows.
    Por ejemplo, el exploit sería "file[backward-char-code]gpj. ". exe y aparecerá como archivo.jpg.

    • Greenaum dice:

      Primero apago, en CADA COMPUTADORA. En primer lugar, me resulta más fácil solucionar problemas por teléfono si la gente puede ver qué es qué. No puedo CREER que nadie en Microsoft haya visto venir esa vulnerabilidad. Todas las desventajas tienen extensiones de 3 letras, sin ninguna de las ventajas. Ocultar cualquier cosa que pueda parecer un poco técnica no es un método de diseño de interfaz de usuario adecuado.

      • Greenaum dice:

        ¿File.jpg.exe en la dirección de avance todavía no funciona?

        • SavannahLeón dice:

          Sí Sí. Siempre lo hago para suprimir individualmente algunos archivos molestos de Windows en el uso de archivos, pero aún quiero saber cuál era la extensión original.

          • Greenaum dice:

            Apunté a "trabajar" como en "¿sigue siendo un agujero de seguridad masivo en las versiones actuales de Windows?".

            Sigo usando XP, que arrastré gritando cuando algunos programas lo requerían. Nadie necesita ser uno de los primeros en adoptar si quiere una vida fácil, y el envejecimiento de 6 meses es tiempo suficiente para eliminar la mayoría de los errores.

        • Austin dice:

          sí, el ataque en realidad hace que la extensión sea parte del nombre del archivo
          hacer: al[rtl]gpj.exe aparece alexe.jpg agregado con la indicación de que esta es una imagen de los nombres de niña alexe y nadie está pensando en nada al respecto.

          • Greenaum dice:

            Buena tristeza. Es sorprendente lo que piensan los piratas informáticos, al mismo tiempo absolutamente miserable, los agujeros gigantes que dejan las empresas.

  • Hirudinea dice:

    Si no puede leer, ¡se merece lo que recibe! ¡Esto nunca hubiera sucedido si no hubiéramos cruzado desde boustrophedon!

    • satovey dice:

      La capacidad de leer al revés es innecesaria en esta situación.
      Si no puede entender lo que está leyendo, es decir, todo parece una tontería, ¿por qué lanzaría el programa de todos modos?
      Solo un individuo con la cabeza llena de materia gris podrida haría tal cosa.

  • ejonesss dice:

    Creo que Apple debería usar la configuración de idioma para determinar la dirección del texto, no el "?" en el nombre del archivo.

    • bty dice:

      se llama unicode, y algunas personas deben poder mostrar varios idiomas / scripts al mismo tiempo.

  • Robar dice:

    Uhh ... "pdf" en realidad no está de vuelta en esa imagen ... por eso es tan fácil elegir ...

    • Carl Hage dice:

      Si lee el artículo vinculado, menciona que Apple ha considerado esto y muestra el tipo de archivo hacia adelante, por lo que puede leerlo en el ejemplo anterior. Es difícil para nosotros entender la imagen de arriba porque no es en inglés. Entonces, ¿Microsoft ha pensado en esto?

      La tarea sería crear el nuevo dominio www, para que luego puedas crear un sitio web llamado moc.knabitic.www.

      Simplemente demuestra que un navegador web y especialmente el software de Adobe deben encenderse en una máquina virtual separada con un sistema operativo mínimo.

      • Darren dice:

        La imagen de arriba está en inglés, solo léala de derecha a izquierda en lugar de lo normal.

      • Robar dice:

        Doh! Supongo que debería leer el artículo ...

      • testrando dice:

        La vulnerabilidad en esa máquina virtual sería equivalente a la vulnerabilidad en Java, o la vulnerabilidad en Chrome, o la vulnerabilidad en flash, etc. Cuando obtiene una ejecución de código arbitrario, puede hacer casi cualquier cosa que desee.

        El software es software, y ninguna cantidad de VM eliminará el hecho de que cuando te conectas a otra computadora, transmites información de dos maneras.

        • cantido dice:

          > La vulnerabilidad en esta máquina virtual sería equivalente a la vulnerabilidad en Java,

          Parece que se está perdiendo el punto de lo que realmente dijo el OP. A menos que haya una explotación que permita a un atacante escapar del hipervisor o lo que sea que esté ejecutando el entorno virtualizado, el problema se limita a lo que es accesible desde adentro. entorno virtualizado. Si tiene un programa desagradable que debe ejecutar, configurarlo en un entorno que no le importa es una buena idea (tm). Si está realmente paranoico con todos los programas que usa, organizaría algo como SELinux o TOMOYO y escribiría una regulación que le dé a los procesos acceso al único recurso mínimo que necesitan para ejecutarse.

          > Una vez que obtenga una ejecución de código arbitrario

          Después de obtener la ejecución de código arbitrario en el entorno virtualizado, debe escapar de la máquina virtual para obtener acceso a un host ...

          > ninguna cantidad de VM eliminará el hecho de que cuando
          > te conectas a otra computadora, transmites información de dos maneras.

          Entonces, ¿tiene un exploit que le permite apuntar al entorno de alojamiento mientras pasa paquetes para un invitado?

  • Verde dice:

    Trabajo con un socio seguro, es bueno que hayan encontrado algo. Tengo aún más que decirles a mis clientes ahora.

  • Lnxed dice:

    ¿Cómo modifico mi abuelo de Mac para evitar ejecutar tales programas? Son bastante ingenuos y nunca tienen que realizar nada descargado por sí mismos.

    El control de los padres puede estar demasiado lejos. Vive a unos cientos de millas de distancia, por lo que mi capacidad para recortar la máquina es limitada. Y si restrinjo demasiado el acceso de mi abuela, ella levantará un hedor enorme y me sacará del testamento.

    • Andrés dice:

      Utilizo un visor de equipo para iniciar sesión y reparar la computadora de mi mamá. También lo he usado con clientes. Diferentes gustos según tu sistema operativo y realmente fácil de usar. Gratis también para no comerciales (creo).

    • Eirinn dice:

      No puede, porque aceptarían ese mensaje incluso si estuviera escrito correctamente.

    • Num ぎ ね じ (@ numpad0) dice:

      Las configuraciones “Hibernar una vez, reanudar muchas” se utilizan en regiones integradas / industriales, pero rara vez las veo realizadas en casa. Creo que sería de gran ayuda para esas personas siempre que los malos necesiten instalarse en una computadora local.

  • Laca Juan dice:

    Me gusta cómo la gente discute sobre que se trata de "malware" y no de "virus". Debe ser uno de los argumentos más inútiles de todos los tiempos.

    • Smee dice:

      Un perno es un clavo. El cáncer es un resfriado. Un árbol es un arbusto. Etcétera etcétera.

      • testrando dice:

        Pienso que el la comparación del cáncer con el resfriado es un poco demasiado lejana. “El cáncer es una infección por estafilococos” sería más parecido.

      • Ingenuo de patas azules dice:

        Algunas distinciones son importantes, otras no. Tratas el cáncer de manera diferente a un resfriado. Los resultados son diferentes si no se tratan.

        ¿Planea introducir las diferencias funcionales entre virus y malware desde la perspectiva del usuario? Tienen cosas malas en sus máquinas que hacen cosas que no quieren hacer.

    • Num ぎ ね じ (@ numpad0) dice:

      Excepto que ambos están equivocados. Los programas de este tipo deben llamarse __BULLSHIT_VIRUS_ALIAS_2__.

  • pete dice:

    Me encanta, no abrume a la aplicación, abrume al usuario.

    Eso me parece perezoso.

  • ejonesss dice:

    bueno, tal vez Apple también debería hacer cómo hacer netscape donde todos los complementos requieren el envío del código fuente para ser compilado en un complemento de navegador independiente.

    Del mismo modo, creo que Apple tiene que hacer que usted, como desarrollador, tenga que enviar (cargar) todos sus recursos a la sección de desarrolladores de Apple, para que sean empaquetados y transformados en un instalador (no permita que el usuario final cree su propio instalador ).

    Tampoco permite ejecutar código después de una imagen de disco (¿recuerdas a una chica de los grupos de noticias en los 90?) cambió algo en el bloque de inicio de la imagen para que se reproduzca un archivo de audio.

    solo que se puede reproducir más que un archivo de sonido, se puede iniciar un programa con el truco del bloque de inicio.

    así que como broma, copié el accesorio de escritorio system 7 "cerrado" a la imagen y lo configuré de modo que cuando se montara la imagen, la computadora se apagara.

    eso es inofensivo en comparación con lo que se puede hacer hoy porque acaba de hacer que la Mac se apague

  • Galane dice:

    ¿Cuántas personas son lo suficientemente estúpidas como para seguir adelante y hacer clic en Abrir cuando se encuentran con un cuadro de diálogo de texto posterior?

    Suficiente y demasiados.

  • Bradley dice:

    Gracias por publicar esto. Le prestaré atención.

  • Un dron dice:

    Solo Apple podría quitar BSD, ganar miles de millones, luego transformarlo en un imán de malware y nunca devolver nada a la comunidad BSD. Bueno, quizás la no devolución sea realmente buena.

    • asm-lupo dice:

      ¿Y CUPS? Y difícilmente lo llamaría un imán de malware, porque estas hazañas no son tan comunes.

      De todos modos, lo suficiente para defender una manzana, no se lo merecen.

    • foo dice:

      de hecho, solo Apple podría hacer una variante * nix lo suficientemente amigable como para ser usada comúnmente como una instalación de escritorio.

  • רון dice:

    "... instalándose a sí mismo en el directorio de inicio y haciendo el trabajo cron para que se inicie en cada arranque"
    Si se encuentra en cada arranque, no es un trabajo cron, pero probablemente funcione desde /etc/rc.local

  • Rollyn01 dice:

    Hmm ... ¿Funcionaría algún tipo de sistema de análisis "lingüístico"? Quiero decir, si las metaetiquetas del archivo pudieran mostrar la región del destinatario de destino, tal vez el archivo podría eliminarse del personaje antes de mostrarse al usuario.

Nora Prieto
Nora Prieto

Deja una respuesta

Tu dirección de correo electrónico no será publicada.