יצירה חדשה של תוכנת ריגול חתומה דיגיטלית עבור Mac OS X משתמשת בתו Unicode מיוחד בשם הקובץ שלה כדי להסתיר את סיומת הקובץ האמיתית שלה מהמשתמשים ולהערים עליהם להתקין אותו.
התוכנה הזדונית, שזכתה לכינוי Janicab. A, כתוב ב-Python והוא ארוז כיישום Mac עצמאי באמצעות כלי השירות py2app, כך אמרו חוקרים מחברת האבטחה F-Secure ביום שני ב- פוסט בבלוג.
הוא מופץ כקובץ בשם "RecentNews.?fdp.app" שבו ה-"?" הוא למעשה תו ההחלפה מימין לשמאל (RLO) הידוע בשם U+202E בתקן הקידוד של Unicode.
Unicode תומך בתווים מרוב השפות, כולל אלה שנכתבו מימין לשמאל כמו ערבית ועברית. התו המיוחד RLO אומר לתוכנה שהטקסט שאחריו צריך להיות מוצג מימין לשמאל.
אפל מציגה הרחבות כפולות מטעמי אבטחה במנהל הקבצים של Mac OS X, אמר שון סאליבן, יועץ אבטחה ב-F-Secure, ביום שלישי באימייל. "כאן, נעשה שימוש בטריק RLO כדי להתמודד עם זה וכדי לגרום ל-.app להיראות כקובץ PDF."
הטריק עצמו אינו חדש ונעשה בו שימוש על ידי תוכנות זדוניות של Windows בעבר, כולל על ידי תוכנת זבל הדואר הזבל של Bredolab ותוכנית הריגול הטרויאני של Mahdi. מחשבים ממוקדים במזרח התיכון.
פתיחת קובץ Janicab .app תפעיל דו-שיח מוקפץ רגיל של Mac OS X המזהיר את המשתמש שהקובץ הורד מהאינטרנט. עם זאת, בגלל התו RLO בשם הקובץ, כל טקסט האזהרה ייכתב מימין לשמאל מה שהופך אותו לבלבל וקשה לקריאה.
אם משתמשים יסכימו לפתוח את הקובץ, התוכנה הזדונית תתקין את עצמה בתיקייה נסתרת בתיקייה של המשתמש ספריית הבית ותפתח מסמך PDF שמכיל את מה שנראה כמאמר חדשותי רוּסִי.
Janicab מצלמת ללא הרף צילומי מסך ומקליטה אודיו ומעלה את הנתונים שנאספו לשרתי פיקוד ובקרה (C&C) שהיא מוצאת על ידי ניתוח התיאור של סרטוני YouTube ספציפיים. זה גם שואל את שרתי C&C לפקודות לביצוע, אמרו חוקרי F-Secure בפוסט בבלוג.
בהתבסס על נתונים סטטיסטיים עבור סרטוני YouTube שהתיאורים שלהם מנותחים על ידי התוכנה הזדונית, הפונקציונליות של התוכנה הזדונית את התוכן של מסמך ההטעיה, חוקרי F-Secure מאמינים שהתוכנה הזדונית נמצאת בשימוש בהתקפות ממוקדות, סאליבן אמר. עם זאת, לחברה אין מידע על זהות המטרות, אמר.
דוגמאות של Janicab הועלו לשירות סריקת תוכנות זדוניות VirusTotal מחמש מדינות, אבל המידע הזה עשוי לשקף את מיקומם של חוקרי אבטחה שונים, לא קורבנות, סאליבן אמר.
המתקין של התוכנה הזדונית חתום דיגיטלית עם אישור חתימת קוד - מזהה מפתח של אפל - שהונפק על ידי אפל לאדם בשם "Gladys Brady".
במאי, חוקרי אבטחה מצאו מספר דוגמאות של תוכנה מסוג Mac OS X בשם KitM או HackBack, ש היו חתומים דיגיטלית עם מזהה מפתח תקף של Apple שהונפק ל-"Rajinder Kumar". אחת מאותן דגימות נאספה ממנה מחשב נייד Mac של פעיל אנגולי המשתתף בפורום חופש אוסלו, ועידת זכויות אדם ב נורווגיה.
חוקרים קישרו את דגימות ה-KitM לקמפיין ריגול סייבר גדול יותר ממוצא הודי שכונה מבצע הנגאובר.
F-Secure דיווחה לאפל על ניצול התעודה החדשה על ידי תוכנת זדונית Janicab, אך טרם קיבלה אישור על כל פעולה שננקטה על ידי החברה, אמר סאליבן. "הם שללו במהירות את התעודה בתיק הקודם של KitM", אמר. "אין לי ספק שהם גם יבטלו את המפתח הזה בקרוב אם הם עדיין לא עשו זאת."
חוקרי F-Secure מאמינים כי אפל עשויה ליצור כלי הסרה עבור Janicab כפי שעשתה עבור תוכנת ה-Mac OS X "בגודל פיינט" התגלה בפברואר.
"ככל שהפופולריות של OS X ממשיכה לגדול, משתמשי אפל צריכים להתרגל לעובדה שהם יהפכו להיות מטרות למחברי תוכנות זדוניות", אמר גאווין מילארד, המנהל הטכני של EMEA בחברת האבטחה Tripwire, באמצעות אימייל. "למרות שגישת ה-RLO (Right Left Override) של ערפול הסיומת האמיתית של קובץ היא פשוטה לזיהוי, המשתמשים עדיין ילחצו, במיוחד מכיוון שהם לא רגילים להיות ממוקדים."