Een truc die cybercriminelen gebruiken om Windows-gebruikers met malware te infecteren wordt nu ook ingezet voor het afluisteren van Mac-gebruikers. Het gaat om RTLO, wat staat voor Right-to-Left-Override, en ervoor zorgt dat via een speciaal unicode karakter de volgorde van karakters van een bestandsnaam kan worden omgedraaid. Het wordt vooral gebruikt voor Arabische teksten.
Het is echter ook populair bij het uitvoeren van gerichte aanvallen, waarbij aanvallers vertrouwelijke netwerken proberen te infiltreren. Windows-gebruikers kunnen zich tegen de RTLO-truc wapenen door het instellen van Detailweergave.
Microfoon
Afgelopen vrijdag werd er Mac-malware ontdekt dat RTLO toepast om de echte extensie te verbergen. Mac OS X toont ondanks het gebruik van RTLO toch de echte extensie. Door het gebruik van RTLO is de standaard bestandswaarschuwing wel omgedraaid. Als de gebruiker het bestand opent, wordt er een onschuldig document getoond om het slachtoffer niets te laten vermoeden.
Eenmaal actief maakt de malware continu screenshots en neemt al het geluid via de microfoon op, via een programma genaamd SoX. Deze bestanden worden vervolgens naar een server gestuurd, zo meldt het Finse anti-virusbedrijf F-Secure.
Om ervoor te zorgen dat gebruikers het bestand kunnen openen is het van een legitiem Apple Developer ID voorzien. Net als bij eerder ontdekte Mac-malware het geval was.
Bron: Security.nl