I ricercatori di F-Secure, Webroot e Avast hanno scoperto indipendentemente un nuovo trojan in circolazione sul Web, chiamato Janicab.A, che minaccia la sicurezza sia di OS X che di Windows.
Nel nostro caso, il malware si avvale di uno stratagemma tecnico comunemente utilizzato nelle mail truffaldine e basato su di uno speciale carattere unicode noto come RLO (right-to-left override); il tutto firmato con un ID Apple per Sviluppatori assolutamente valido, cosa che gli consente di bypassare le restrizioni di GateKeeper.
Da lì, il trojan utilizza una pagina Youtube per prendere il controllo dei computer infettati, li indirizza verso dei server di tipo command-and-control (di comando e controllo remoto), dopodiché nasconde se stesso camuffando i suoi eseguibili sotto le sembianze di comuni file PDF o DOC. Webroot scrive:
Dopo un periodo relativamente lungo di tempo senza malware per Mac particolarmente nuovi ed eccitanti, la scorsa settimana abbiamo visto emergere un nuovo ed interessante metodo di compromissione dei sistemi OS X. Gli autori del malware hanno adottato un nuovo approccio alternando l’estensione dei file delle app malevole così da convincere ad aprire quelli che, in apparenza, sembrano innocui file PDF o DOC. Modificare l’estensione dei file in Mac OS X può essere complicato a causa di una feature di sicurezza dell’OS che controlla questo tipo di interventi e vi pone rimedio in modo automatico.
L’ultima volta che si è parlato di trojan è stato a marzo di quest’anno, in occasione della scoperta di Yontoo. Non c’è mai stata però alcuna contaminazione di massa. A distanza di pochi giorni dalla scoperta, infatti, Apple ha reso disponibile un aggiornamento delle definizioni di OS X. E c’è da scommettere che il copione si ripeterà anche stavolta. Per ora, quindi, il consiglio è semplice: state attenti ai file DOC e PDF che aprite.