macosx_virus

Janicab.A, il malware che colpisce OS X

Pubblicato il 25 luglio 2013 - 18:05 da SAPOTO in Technews

Taggato con: , , , , , , ,

Janicab.A è un malware per OS X che, grazie ad un semplice stratagemma, nasconde la sua vera estensione fingendosi un documento PDF mentre in realtà è una vera e propria applicazione.

I ricercatori di F-Secure, Webroot e Avast hanno scoperto un nuovo malware chiamato Janicab.A, che minaccia la sicurezza sia di OS X grazie ad uno speciale carattere Unicode che viene utilizzato per nascondere la vera estensione del file, ingannando l’utente e inducendolo a scambiarlo per un PDF.
Il malware  è stato scritto in Python e viene distribuito con il nome “RecentNews.?fdp.app”: il punto di domanda corrisponde al right-to-left override (RLO), un carattere speciale che informa il sistema che il testo a seguire deve essere visualizzato da destra verso sinistra. L’utente visualizza così l’estensione “pdf” al posto di “fdp” non capendo di avere a che fare con un’applicazione invece di un PDF. Questo succede inoltre perchè il file manager di OS X consente l’utilizzo della doppia estensione: per chi ha selezionato l’opzione “Mostra tutte le estensioni dei nomi documenti” dalle preferenze del Finder sarà più semplice capire che c’è qualcosa che non va.

Il trojan si installa in una cartella nascosta nella cartella home dell’utente, si finge un articolo scritto in russo e dopodichè cattura schermate, registra l’audio e invia i dati verso dei server command-and-control,  sfruttando alcune pagine e video di YouTube.

janicab.ajanicab.a_b

 

L’applicazione è firmata con un ID Apple per sviluppatori valido, consentendole così di superare le restrizioni di GateKeeper: probabilmente entro poche ore Apple revocherà il certificato, rendendo inutilizzabile il malware.

 

Ti è piaciuto questo articolo? Condividilo su

Autore dell'articolo

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Protected by WP Anti Spam