‮Un malware qui utilise Unicode sur Mac (et c’est renversant)

‮‮Amusant : un malware utilise un caractère Unicode permettant d’inverser les caractères affichés pour se camoufler dans le Finder. Explications.
a8fdca01-92a0-6fcf-abbd-352030960585

A l’endroit : « Amusant : un malware utilise un caractère Unicode permettant d’inverser les caractères affichés pour se camoufler dans le Finder. Explications. ».

L’explication est intéressante : quand on essaye d’ajouter une extension classique à une application sous Mac OS X, le système affiche automatiquement le .app, masqué le reste du temps. Test simple : copiez une application sur le bureau et essayez d’ajouter .pdf, ça donnera ça.

Notes.pdf.app

Notes.pdf.app

Si vous essayez de renommer le fichier en supprimant le .app, ça ne fonctionne pas.

Il y a pourtant une solution, utiliser Unicode. Le caractère U+202e permet en effet d’inverser le sens d’affichage d’un texte.

Il faut donc lancer le Visualiseur de caractères, chercher le caractère U+202e (attention, il est caché, comme le montre la capture), l’insérer à la fin du nom du fichier et ensuite entrer l’extension à l’envers.

U+202e

U+202e

Pour camoufler l’application en .pdf, on doit donc écrire (après le caractère magique) fdp.. Pour le Finder, le fichier s’appellera donc dans notre cas Notes?fdp..app, mais il s’affichera Notes.pdf, sans le .app. Ensuite, en modifiant l’icône, on peut donc camoufler l’application et même s’arranger pour qu’elle ouvre vraiment un fichier PDF.

Notes.pdf

Notes.pdf

On peut remarquer assez facilement l’astuce (le type reste Applications pour la barre latérale du Finder) mais ça reste assez efficace pour des personnes peu averties.

Notons par ailleurs (comme le titre le montre) que le caractère magique est utilisable dans d’autres contextes. Certains services (Twitter ou Facebook par exemple) filtrent le caractère, d’autres pas (comme WordPress).