Le nouveau Mac Malware « Janicab » a abusé RLO de cacher une extension

Un nouveau Mac Malware a été repéré par des chercheurs de F-Secure, qui est capable de continuellement prendre des captures d’écran et des enregistrements audio et de les télécharger sur un serveur distant.

Ce qui est intéressant à propos de ce malware Mac est qu’il abuse le paramètre Right-to-Left Override (RLO) à cacher l’extension. Néanmpins, la méthode n’est pas nouvelle pour les logiciels malveillants de Windows qui est utilisé par

Bredolab et d’autres chevaux de Troie.

Le caractère RLO (U +202 E dans unicode) est conçu pour appuyer les langues qui s’écrivent de droite à gauche, comme l’arabe et l’hébreu.

Le malware analysé par F-Secure utilise « New.ppa.pdf récente » comme nom de fichier pour le fichier malveillant.

Simplement en regardant l’extension, nous pouvons penser que c’est juste un fichier pdf, mais en réalité, vous ouvrons un fichier exécutable. APP.

En raison du caractère RLO dans le fichier malveillant, le fichier notification quarantaine d’habitude à partir de OS X sera à l’envers.

file quarantine notification -Image Credits: F-Secure

La notification habituelle est « RecentNews. Etes-vous sûr que vous voulez ouvrir fdp » est une application téléchargée « à partir d’Internet. »

Une fois qu’il est lancé, le malware affiche un document leurre pendant qu’il installer silencieusement le code malveillant dans l’ordinateur de la victime.

Selon le rapport de Malware  F-Secure , la menace est écrit en Python et utilise py2app pour

distribution et il est signé avec développeur Apple ID.

Une réflexion au sujet de « Le nouveau Mac Malware « Janicab » a abusé RLO de cacher une extension »

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *