Μια λειτουργία στο αρχείο LNK χρησιμοποιείται από το Janicab, ένα Trojan που μολύνει συστήματα Windows και Mac, ώστε να περάσει εντολές στο σύστημα, οι οποίες δεν γίνονται αντιληπτές.
To malware κυκλοφορεί εδώ και περίπου δύο χρόνια, και στηρίζεται σε Python και VBScripts, για να μολύνει τους υπολογιστές. Αυτό που έκανε εντύπωση στους ερευνητές είναι o τρόπος που μεταδίδεται.
Το malware χρησιμοποιεί τεχνική THE RLO (right-to-left override), η οποία αναφέρεατι σε ειδικούς χαρακτήρες Unicode, για γλώσσες με γραφή από αριστερά προς τα δεξιά. Μπορεί να μπει παντού μέσα σε οποιοδήποτε κείμενο αλλάζοντας τη φορά της γραφής.
Η μέθοδος χρησιμοποιείται σε αρχεία με διπλή επέκταση ώστε να εμφανίζονται ως κανονικά DOC ή PDF αρχεία, ενώ στη πραγματικότητα είναι εκτελέσιμα αρχεία .exe. Oι λειτουργίες του Janicab, περιλαμβάνουν επίσης τη συγκέντρωση των διευθύνσεων και την αποστολή τους σε κάποιον C&C server, που ελέγχεται από τρίτους.
Στο παράδειγμα που παρέθεσαν οι ερευνητές, το malware προσπαθεί να μη γίνει αντιληπτό, έχοντας την κατάληξη JPG, ώστε να φανεί σαν ένα απλό image, αλλά το target location του αρχείου, δείχνει ότι οδηγεί σε ένα .exe αρχείο, όπου εκτελούνται οι εντολές.
Στη νέα εκδοχή του Janicab, φαίνεται να έχει προστεθεί και το “snapIt.exe”, μια λειτουργία με την οποία του επιτρέπει να τραβάει screenshots από την επιφάνεια εργασίας.
