تستخدم قطعة جديدة من برامج التجسس الموقعة رقمياً لنظام التشغيل Mac OS X حرف Unicode خاص في اسم الملف الخاص بها لإخفاء امتداد الملف الحقيقي عن المستخدمين وخداعهم لتثبيته.
البرمجيات الخبيثة التي أطلق عليها اسم Janicab. A ، مكتوب بلغة Python ويتم تعبئته كتطبيق Mac مستقل باستخدام الأداة المساعدة py2app ، كما قال باحثون من شركة الأمن F-Secure يوم الإثنين في مشاركة مدونة.
يتم توزيعه كملف يسمى "RecentNews.؟fdp.app" حيث "؟" هو في الواقع حرف التجاوز من اليمين إلى اليسار (RLO) المعروف باسم U + 202E في معيار ترميز Unicode.
يدعم Unicode الأحرف من معظم اللغات ، بما في ذلك الأحرف المكتوبة من اليمين إلى اليسار مثل العربية والعبرية. يخبر حرف RLO الخاص البرنامج أنه يجب عرض النص التالي له من اليمين إلى اليسار.
قال شون سوليفان ، مستشار الأمن في F-Secure ، الثلاثاء عبر البريد الإلكتروني ، إن Apple تعرض امتدادات مزدوجة لأسباب أمنية في مدير ملفات Mac OS X. "هنا ، يتم استخدام خدعة RLO لمواجهة ذلك ولجعل التطبيق يبدو بتنسيق pdf."
الحيلة نفسها ليست جديدة وقد تم استخدامها من قبل برامج Windows الضارة في الماضي ، بما في ذلك عن طريق البريد الإلكتروني Bredolab والبرامج الضارة غير المرغوب فيها وبرنامج Mahdi للتجسس الإلكتروني Trojan الذي
تستهدف أجهزة الكمبيوتر في الشرق الأوسط.سيؤدي فتح ملف Janicab .app إلى تشغيل مربع حوار منبثق قياسي لنظام التشغيل Mac OS X يحذر المستخدم من تنزيل الملف من الإنترنت. ومع ذلك ، نظرًا لوجود حرف RLO في اسم الملف ، سيتم كتابة نص التحذير بالكامل من اليمين إلى اليسار مما يجعله محيرًا ويصعب قراءته.
إذا وافق المستخدمون على فتح الملف ، فسيتم تثبيت البرنامج الضار في مجلد مخفي في مجلد المستخدم الدليل الرئيسي وسيفتح مستندًا بصيغة PDF يحتوي على ما يبدو أنه مقالة إخبارية بتنسيق الروسية.
يأخذ Janicab باستمرار لقطات شاشة ويسجل الصوت ويحمل البيانات المجمعة إلى خوادم القيادة والتحكم (C&C) التي يجدها من خلال تحليل وصف مقاطع فيديو معينة على YouTube. قال باحثو F-Secure في منشور المدونة إنه يستعلم أيضًا من خوادم C & C للحصول على أوامر للتنفيذ.
استنادًا إلى إحصائيات مقاطع فيديو YouTube التي يتم تحليل أوصافها بواسطة البرامج الضارة ، ووظائف البرامج الضارة و محتويات مستند شرك ، يعتقد باحثو F-Secure أن البرامج الضارة تُستخدم في هجمات مستهدفة ، سوليفان قال. ومع ذلك ، فإن الشركة ليس لديها أي معلومات عن هوية الأهداف ، على حد قوله.
تم تحميل عينات Janicab إلى خدمة فحص البرامج الضارة VirusTotal من خمسة بلدان ، ولكن قد تعكس هذه المعلومات مواقع باحثين أمنيين مختلفين ، وليس ضحايا ، سوليفان قال.
مُثبِّت البرنامج الضار موقَّع رقميًا بشهادة توقيع الرمز - معرِّف مطور Apple - صادرة عن Apple إلى شخص يُدعى "Gladys Brady".
في مايو ، وجد باحثو الأمن عدة عينات من برنامج مستتر من نوع Mac OS X يسمى KitM أو HackBack ، رقميا بمعرف مطور Apple صالح صادر إلى "Rajinder Kumar". تم جمع واحدة من تلك العينات من كمبيوتر محمول Mac لناشط أنغولي يحضر منتدى الحرية في أوسلو ، وهو مؤتمر لحقوق الإنسان في النرويج.
ربط الباحثون عينات KitM بحملة تجسس إلكتروني أكبر من أصل هندي يطلق عليها اسم عملية مخلفات.
قال سوليفان إن شركة F-Secure أبلغت Apple عن إساءة استخدام برنامج Janicab الضار للشهادة الجديدة ، لكنها لم تتلق بعد تأكيدًا على أي إجراء اتخذته الشركة. قال: "لقد أبطلوا بسرعة الشهادة في قضية KitM السابقة". "ليس لدي شك في أنهم سيبطلون أيضًا [ID] المطور هذا قريبًا إذا لم يفعلوا ذلك بالفعل."
يعتقد باحثو F-Secure أنه من المحتمل أن تنشئ Apple أداة إزالة لـ Janicab كما فعلت مع البرامج الضارة "Pintsized" Mac OS X اكتشف في فبراير.
"مع استمرار نمو شعبية OS X ، يتعين على مستخدمي Apple التعود على حقيقة أنهم سيصبحون كذلك أهداف لمؤلفي البرامج الضارة ، "قال جافين ميلارد ، المدير الفني لمنطقة أوروبا والشرق الأوسط وإفريقيا في شركة تريبواير الأمنية ، عبر بريد إلكتروني. "على الرغم من أن طريقة RLO (التجاوز الأيسر الأيمن) للتعتيم على الامتداد الحقيقي لملف ما سهلة التحديد ، سيظل المستخدمون ينقرون ، خاصةً لأنهم غير معتادين على الاستهداف."