El malware de Mac Janicab utiliza RLO para esconder la extensión de los archivos

Iniciado por wolfbcn, 16 Julio 2013, 03:15 AM

0 Miembros y 1 Visitante están viendo este tema.

wolfbcn

Los investigadores de F-Secure han descubierto una interesante pieza de malware diseñada para atacar los dispositivos Mac. Lo más sorprendente acerca de Backdoor:Python/Janicab.A es que el archivo que esconde el malware utiliza el carácter right-to-left override (RLO) para enmascarar su extensión.

El carácter Unicode RLO está diseñado para soportar los idiomas que se escriben de derecha a izquierda, como el hebreo o árabe. Sin embargo, los desarrolladores del malware han abusado del carácter para ocultar las extensiones de archivos maliciosos.

En el caso del malware para Mac analizado por F-Secure, el archivo malicioso tiene la extensión .app (RecentNews.fdp.app). Sin embargo, dado que se utiliza el truco de RLO – el carácter Unicode se coloca antes de la "f" –, el archivo se convierte en RecentNews.ppa.pdf.

Una vez lanzado, el malware infiltra un documento de señuelo. Mientras tanto, crea una tarea programada para su punto de lanzamiento y una carpeta oculta donde almacena sus componentes.

El malware consigue la dirección de su servidor de comando de los vídeos de YouTube y otros sitios web.

Su principal objetivo es tomar capturas de pantalla y grabar audio usando una aplicación de terceros llamada SoX.

Janicab.A está escrito en Python, utiliza py2app para distribución, y está firmado con un ID de desarrollador de Apple.

http://news.softpedia.es/El-malware-de-Mac-Janicab-utiliza-RLO-para-esconder-la-extension-de-los-archivos-368314.html
La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.