Un nuovo pezzo di spyware con firma digitale per Mac OS X utilizza uno speciale carattere Unicode nel nome del file per nascondere la sua vera estensione di file agli utenti e indurli a installarlo.
Il malware, che è stato soprannominato Janicab. A, è scritto in Python ed è impacchettato come un'applicazione Mac autonoma utilizzando l'utilità py2app, hanno detto lunedì i ricercatori della società di sicurezza F-Secure in un post sul blog.
È distribuito come un file chiamato "RecentNews.?fdp.app" dove il "?" è in realtà il carattere di override da destra a sinistra (RLO) noto come U+202E nello standard di codifica Unicode.
Unicode supporta i caratteri della maggior parte delle lingue, compresi quelli scritti da destra a sinistra come l'arabo e l'ebraico. Il carattere speciale RLO indica al software che il testo che lo segue deve essere visualizzato da destra a sinistra.
Apple mostra doppie estensioni per motivi di sicurezza nel file manager di Mac OS X, ha dichiarato martedì via e-mail Sean Sullivan, consulente per la sicurezza di F-Secure. "Qui, il trucco RLO viene utilizzato per contrastarlo e per far sembrare il .app un .pdf."
Il trucco in sé non è nuovo ed è stato utilizzato da malware Windows in passato, incluso il malware Bredolab email spam e il programma Mahdi cyberespionage Trojan che computer presi di mira in Medio Oriente.
L'apertura del file Janicab .app attiverà una finestra di dialogo pop-up standard di Mac OS X che avverte l'utente che il file è stato scaricato da Internet. Tuttavia, a causa del carattere RLO nel nome del file, l'intero testo di avvertenza verrà scritto da destra a sinistra rendendolo confuso e difficile da leggere.
Se gli utenti accettano di aprire il file, il malware si installerà in una cartella nascosta in quella dell'utente home directory e aprirà un documento PDF esca contenente quello che sembra essere un articolo di notizie in Russo.
Janicab acquisisce continuamente schermate e registra audio e carica i dati raccolti sui server di comando e controllo (C&C) che trova analizzando la descrizione di specifici video di YouTube. Interroga anche i server C&C per i comandi da eseguire, hanno affermato i ricercatori di F-Secure nel post del blog.
Sulla base delle statistiche per i video di YouTube le cui descrizioni vengono analizzate dal malware, la funzionalità del malware e In base al contenuto del documento esca, i ricercatori di F-Secure ritengono che il malware venga utilizzato in attacchi mirati, Sullivan disse. Tuttavia, la società non ha alcuna informazione sull'identità degli obiettivi, ha affermato.
I campioni Janicab sono stati caricati sul servizio di scansione malware VirusTotal da cinque paesi, ma quell'informazione potrebbe riflettere le posizioni di diversi ricercatori di sicurezza, non vittime, Sullivan disse.
Il programma di installazione del malware è firmato digitalmente con un certificato di firma del codice, un ID sviluppatore Apple, rilasciato da Apple a una persona chiamata "Gladys Brady".
A maggio, i ricercatori di sicurezza hanno trovato diversi campioni di un programma di tipo backdoor di Mac OS X chiamato KitM o HackBack, che erano firmati digitalmente con un ID sviluppatore Apple valido rilasciato a "Rajinder Kumar". Uno di quei campioni è stato raccolto da il laptop Mac di un attivista angolano che partecipa all'Oslo Freedom Forum, una conferenza sui diritti umani in Norvegia.
I ricercatori hanno collegato i campioni KitM a una più ampia campagna di spionaggio informatico di origine indiana soprannominata Operazione postumi di una sbornia.
F-Secure ha segnalato ad Apple che il nuovo certificato è stato violato dal malware Janicab, ma non ha ancora ricevuto conferma di alcuna azione intrapresa dalla società, ha affermato Sullivan. "Hanno rapidamente revocato il certificato nel precedente caso KitM", ha detto. "Non ho dubbi che presto revocheranno anche questo sviluppatore [ID] se non l'hanno già fatto."
I ricercatori di F-Secure ritengono che probabilmente Apple creerà uno strumento di rimozione per Janicab come ha fatto per il malware Mac OS X "piccolo" scoperto a febbraio.
“Poiché la popolarità di OS X continua a crescere, gli utenti Apple devono abituarsi al fatto che lo diventeranno obiettivi per gli autori di malware", ha affermato Gavin Millard, direttore tecnico EMEA presso la società di sicurezza Tripwire, tramite e-mail. "Sebbene l'approccio RLO (Right Left Override) di offuscare la vera estensione di un file sia semplice da individuare, gli utenti continueranno a fare clic, soprattutto perché non sono abituati a essere presi di mira."