Финский антивирусный вендор F-Secure сообщает о детектировании нового вредоносного кода под операционную систему Mac OS X, использующего поддельную систему инсталляции в ОС и маскирующегося под стандартные файлы системы. Во вредоносе использованы спецсимволы Юникода в названии файла, что позволяет вредоносу визуально отображаться в системе как стандартный документальный файл.
В отличие от Windows, где система полагается только на расширение файла для определения типа файла и замена расширения на .doc или .pdf уже позволяет ассоциировать код с соответствующим типом приложения, в Mac OS X этот трюк не проходит и Finder выявляет типы файлов не по разрешению, а по начальной последовательности структуры. Однако трюк со спецсимволами в Юникоде позволяет обмануть и этот подход. Технически, узнать истинную природу файла можно в Терминале Mac OS X, однако 99% пользователей Mac им не пользуются для навигации по файловой системе.
Чтобы обмануть те самые 99% пользователей, злоумышленники добавляли в название символ Юникода U+202e или так называемый перевод каретки в RLO (right to left override) и надежно прятали истинное расширение .app приложения, подставляя вместо него что-то более безобидное, например .doc или .rtf. Таким образом, в ОС новый файл для пользователя детектировался как текстовый или PDF, но при этом он не терял своей бинарно-вредоносной природы.
В F-Secure говорят, что новый метод является достаточно оригинальным и они уже передали новые данные в Apple, чтобы разработчик Mac OS сделал соответствующие механизмы защиты. Компания заявляет, что против данной атаки может частично помочь система Gatekeeper, встроенная в Mac OS. По словам представителей F-Secure, внутри файла находится вредоносный код Backdoor:Python/Janicab.A, открывающий доступ к пользовательскому компьютеру для установки других вредоносов. (F-Secure/NovostIT)