Uusi digitaalisesti allekirjoitettu vakoiluohjelma Mac OS X: lle käyttää erityistä Unicode-merkkiä tiedostonimessään piilottaakseen todellisen tiedostotunnisteen käyttäjiltä ja huijatakseen heidät asentamaan se.
Haittaohjelma, joka on nimetty Janicabiksi. A, on kirjoitettu Pythonilla ja on pakattu erilliseksi Mac-sovellukseksi py2app-apuohjelmalla, tietoturvayhtiö F-Securen tutkijat sanoivat maanantaina. blogipostaus.
Se jaetaan tiedostona nimeltä "RecentNews.?fdp.app", jossa "?" on itse asiassa oikealta vasemmalle ohitusmerkki (RLO), joka tunnetaan nimellä U+202E Unicode-koodausstandardissa.
Unicode tukee merkkejä useimmista kielistä, mukaan lukien oikealta vasemmalle kirjoitetut merkit, kuten arabia ja heprea. Erikoismerkki RLO kertoo ohjelmistolle, että sitä seuraava teksti tulee näyttää oikealta vasemmalle.
Apple näyttää kaksinkertaiset laajennukset turvallisuussyistä Mac OS X -tiedostonhallinnassa, sanoi F-Securen tietoturvaneuvoja Sean Sullivan tiistaina sähköpostitse. "Tässä RLO-temppua käytetään estämään tämä ja saamaan .app näyttämään .pdf-tiedostolta."
Temppu itsessään ei ole uusi, ja sitä ovat käyttäneet Windows-haittaohjelmat, mukaan lukien Bredolab-sähköpostihaittaohjelma ja Mahdi-verkkovakoilutroijalainen ohjelma. kohdistettuja tietokoneita Lähi-idässä.
Janicab .app -tiedoston avaaminen käynnistää tavallisen Mac OS X -ponnahdusikkunan, joka varoittaa käyttäjää, että tiedosto on ladattu Internetistä. Kuitenkin, koska tiedostonimessä on RLO-merkki, koko varoitusteksti kirjoitetaan oikealta vasemmalle, mikä tekee siitä hämmentävää ja vaikeasti luettavaa.
Jos käyttäjät suostuvat avaamaan tiedoston, haittaohjelma asentaa itsensä käyttäjän piilotettuun kansioon kotihakemistoon ja avaa houkutus-PDF-dokumentin, joka sisältää uutisartikkelin Venäjän kieli.
Janicab ottaa jatkuvasti kuvakaappauksia ja tallentaa ääntä ja lataa kerätyt tiedot komento- ja ohjauspalvelimille, jotka se löytää jäsentämällä tiettyjen YouTube-videoiden kuvauksia. Se myös kysyy C&C-palvelimilla suoritettavia komentoja, F-Securen tutkijat sanoivat blogikirjoituksessaan.
Perustuu tilastoihin YouTube-videoista, joiden kuvaukset haittaohjelma jäsentää, haittaohjelman toiminnallisuus ja houkutusasiakirjan sisällön F-Securen tutkijat uskovat, että haittaohjelmaa käytetään kohdistetuissa hyökkäyksissä, Sullivan sanoi. Yhtiöllä ei kuitenkaan ole tietoa kohteiden henkilöllisyydestä, hän sanoi.
Janicab-näytteet ladattiin VirusTotal-haittaohjelmien tarkistuspalveluun viidestä maasta, mutta että tiedot saattavat heijastaa eri turvallisuustutkijoiden sijainteja, eivät uhreja, Sullivan sanoi.
Haittaohjelman asennusohjelma on digitaalisesti allekirjoitettu koodin allekirjoitussertifikaatilla – Apple Developer ID –, jonka Apple on myöntänyt henkilölle nimeltä Gladys Brady.
Toukokuussa tietoturvatutkijat löysivät useita näytteitä Mac OS X -takaovityyppisestä ohjelmasta nimeltä KitM tai HackBack. allekirjoitettiin digitaalisesti voimassa olevalla Applen kehittäjätunnuksella, joka on myönnetty "Rajinder Kumarille". Yksi näistä näytteistä on kerätty Angolalaisen aktivistin Mac-tietokone, joka osallistui Oslo Freedom Forumiin, ihmisoikeuskonferenssiin Norja.
Tutkijat linkittivät KitM-näytteet laajempaan intialaista alkuperää olevaan kybervakoilukampanjaan Operaatio Hangover.
F-Secure ilmoitti Applelle, että Janicab-haittaohjelma väärinkäyttää uutta varmennetta, mutta se ei ole vielä saanut vahvistusta yrityksen toimista, Sullivan sanoi. "He peruuttivat varmenteen nopeasti edellisessä KitM-tapauksessa", hän sanoi. "Minulla ei ole epäilystäkään siitä, että he myös peruvat tämän kehittäjän [ID] pian, jos he eivät ole jo tehneet."
F-Securen tutkijat uskovat, että Apple luo todennäköisesti poistotyökalun Janicabille, kuten se teki "Pintsized" Mac OS X -haittaohjelmalle. löydettiin helmikuussa.
"OS X: n suosion kasvaessa Applen käyttäjien on totuttava siihen, että heistä tulee kohteet haittaohjelmien tekijöille", sanoi Gavin Millard, EMEA-alueen tekninen johtaja tietoturvayrityksestä Tripwiresta. sähköposti. "Vaikka RLO (Right Left Override) -lähestymistapa tiedoston todellisen päätteen hämärtämiseen on helppo havaita, käyttäjät silti napsauttavat, varsinkin kun he eivät ole tottuneet siihen, että heidät kohdistetaan."