最近,芬蘭保安軟件公司 F-Secure 發現 Mac 有一個新形惡意軟件,能夠秘密攝取你Mac電腦顯示中的資料,以及秘密錄音,並自動上載至網上。而最特別的是,F-Secure 發現兩個嶄新的入侵方法,很有機會是惡意軟件開發者證用來「試水溫」,確認新的入侵方法可行。
F-Secure認為是次發現入侵 Mac 機的惡意軟件威脅不高,但這應該是用來「測試水溫」,讓惡意軟件開發者確認嶄新的入侵方法可行。
F-Secure 亞洲區保安顧問吳樹謙表示:「所謂道高一尺魔高一丈,惡意軟件開發者要成功突破多重關卡,例如如何在網上大力散播、避免防毒軟件的偵測、成功安裝到用戶的電腦、盜取資料並上載到指定伺服器、避免伺服器被人偵測到和關閉等等,都需要極多的智慧和創意。」
創新技巧一:右至左編碼
當你觀看文章,或者進行程式編輯,大多數情況下都是由左至右看文字。但在 Unicode 編碼的世界,有個稱為「RLO」(Right to left override) 的技巧,能提示電腦由右至左讀取編碼,以便顯示正確的資料。
這次惡意軟件開發者利用這個 Unicode 的特色,在檔案名稱中「加手腳」,使 Mac OS X 誤以為惡意軟件執行檔為一個PDF檔案。用戶下載有問題的檔案後,Mac OS X 的Finder (檔案管理)會顯示檔案為一 PDF 文件。可是,當用戶打開它時,它會於背後自動執行多個動作,包括到 YouTube 查詢一些資料 (較後部分會作解釋)、下載及安裝用作攝取用戶的畫面及秘密錄音的程式 (安裝時用戶不會察覺到)、將畫面和錄音上載到網上,以及等待總指揮的指示去執行另一些行動。
用戶打開檔案後,惡意軟件編碼會執行,並會打開一個真的文件,讓用戶不能察覺背後有何特別
創新技巧二:將編碼放到 YouTube
惡意軟件如果被防毒公司發現,效用可能很快會消失。如果惡意軟件的原意是偷取資料並上載到網上,惡意軟件亦要將伺服器的資料放入編碼,才能把檔案上載。當伺服器被人發現而要搬位時,原有的惡意軟件便不再有效。
F-Secure 大中華區總監李力恆表示:「這可以說明沒有一個平台是絕對安全,惡意軟件開發者會利用不同具創意的技巧去入侵用戶的電腦。用戶打開任何檔案及程式,均必須小心,盡量避免打開不知名的文件程式。這次我們發現的惡意軟件,正好證明毒藥可以使用不同的糖衣作包裝,用戶根本不能靠外貌分辨。」
F-Secure 已將這個惡意軟件定命為Backdoor:Python/Janicab.A。
