Novi dio digitalno potpisanog špijunskog softvera za Mac OS X koristi poseban Unicode znak u svom nazivu datoteke kako bi sakrio svoje stvarno datotečno proširenje od korisnika i natjerao ih da ga instaliraju.
Malware, koji je nazvan Janicab. A, napisan je u Pythonu i pakiran je kao samostalna Mac aplikacija pomoću uslužnog programa py2app, rekli su istraživači sigurnosne tvrtke F-Secure u ponedjeljak u post na blogu.
Distribuira se kao datoteka pod nazivom “RecentNews.?fdp.app” gdje je “?” zapravo je znak za poništavanje zdesna nalijevo (RLO) poznat kao U+202E u Unicode standardu kodiranja.
Unicode podržava znakove iz većine jezika, uključujući one napisane s desna na lijevo poput arapskog i hebrejskog. Poseban znak RLO govori softveru da tekst koji slijedi treba biti prikazan s desna na lijevo.
Apple prikazuje dvostruka proširenja iz sigurnosnih razloga u Mac OS X upravitelju datoteka, rekao je Sean Sullivan, sigurnosni savjetnik u F-Secureu, u utorak putem e-pošte. "Ovdje se koristi RLO trik da se tome suprotstavi i da se .app čini kao .pdf."
Trik sam po sebi nije nov i koristio ga je zlonamjerni softver za Windows u prošlosti, uključujući zlonamjerni softver za spam e-pošte Bredolab i trojanski program Mahdi cyberspionage koji ciljano računala na Bliskom istoku.
Otvaranje Janicab .app datoteke pokrenut će standardni skočni dijaloški okvir Mac OS X koji upozorava korisnika da je datoteka preuzeta s Interneta. Međutim, zbog znaka RLO u nazivu datoteke, cijeli tekst upozorenja bit će napisan zdesna ulijevo, što ga čini zbunjujućim i teškim za čitanje.
Ako korisnici pristanu otvoriti datoteku, zlonamjerni softver će se instalirati u skrivenu mapu u korisnikovoj matični imenik i otvorit će PDF dokument mamac koji sadrži nešto što izgleda kao novinski članak u Ruski.
Janicab kontinuirano snima snimke zaslona i audio zapise te učitava prikupljene podatke na poslužitelje za upravljanje i kontrolu (C&C) koje pronalazi analiziranjem opisa određenih YouTube videozapisa. Također postavlja upite C&C poslužiteljima za naredbe koje treba izvršiti, rekli su istraživači F-Securea u postu na blogu.
Na temelju statistike za YouTube videozapise čije je opise zlonamjerni softver analizirao, funkcionalnost zlonamjernog softvera i Sadržaj dokumenta mamac, F-Secure istraživači vjeruju da se malware koristi u ciljanim napadima, Sullivan rekao je. Međutim, tvrtka nema nikakvih informacija o identitetu meta, rekao je.
Uzorci Janicaba učitani su na uslugu skeniranja zlonamjernog softvera VirusTotal iz pet zemalja, ali te informacije mogu odražavati lokacije različitih sigurnosnih istraživača, a ne žrtava, Sullivane rekao je.
Program za instalaciju zlonamjernog softvera digitalno je potpisan certifikatom za potpisivanje koda—Apple Developer ID—koji je Apple izdao osobi pod imenom "Gladys Brady".
U svibnju su istraživači sigurnosti pronašli nekoliko uzoraka Mac OS X programa backdoor tipa pod nazivom KitM ili HackBack, koji bili digitalno potpisani s važećim Apple ID-om programera izdanim na "Rajinder Kumar". Jedan od tih uzoraka prikupljen je iz prijenosno računalo Mac angolskog aktivista koji je prisustvovao Oslo Freedom Forumu, konferenciji o ljudskim pravima u Norveška.
Istraživači su povezali KitM uzorke s većom kampanjom cyberšpijunaže indijskog podrijetla nazvanom Operacija Mamurluk.
F-Secure je Appleu prijavio zlouporabu novog certifikata od strane zlonamjernog softvera Janicab, ali još nije dobio potvrdu o bilo kakvim radnjama koje je tvrtka poduzela, rekao je Sullivan. "Brzo su opozvali certifikat u prethodnom slučaju KitM", rekao je. "Ne sumnjam da će također uskoro opozvati ovaj [ID] programera ako već nisu."
Istraživači F-Securea vjeruju da će Apple vjerojatno izraditi alat za uklanjanje za Janicab kao što je napravio za "Pintsized" Mac OS X malware otkriven u veljači.
“Kako popularnost OS X-a nastavlja rasti, korisnici Applea moraju se naviknuti na činjenicu da će postati mete za autore zlonamjernog softvera,” rekao je Gavin Millard, EMEA tehnički direktor sigurnosne tvrtke Tripwire, putem elektronička pošta. "Iako je RLO (Right Left Override) pristup prikrivanja prave ekstenzije datoteke jednostavan za uočavanje, korisnici će i dalje klikati, pogotovo jer nisu navikli biti ciljani."