衆所周知，EXE是用于Windows的官方可執行文件格式，僅在Windows平台上運行。通常情況下，試圖在Mac或Linux操作系統上運行exe文件都是不可能的任務。

　　然而，趨勢科技的安全研究人員發現了一種EXE文件，它采用了一種新方法繞過Apple的macOS安全保護，并通過部署通常隻在Windows計算機上運行的惡意EXE文件來感染Mac計算機。

　　研究人員發現了一些惡意macOS應用程序樣本（.dmg）僞裝成torrent網站上流行軟件的安裝程序，其中包括使用mono框架編譯的EXE應用程序，以使其與macOS兼容。

　　Mono是一個由Novell公司（由Xamarin發起）主持的項目，并由Miguel de lcaza領導的，一個緻力于開創.net在Linux上使用的開源工程。它允許開發人員創建跨平台的.NET應用程序，這些應用程序可以在所有支持的平台上運行，包括Linux，Windows和Mac OS X.

　　研究人員向外媒透露，這個惡意文件能夠繞過Mac的内置保護機制（比如Gatekeeper），原因是因為Gatekeeper僅檢查本機Mac文件而不會檢查EXE文件，因此該EXE文件能輕易繞過編碼簽名檢查和驗證的步驟。

　　通常，運行任何Windows可執行文件都會導緻macOS出錯系統及其内置的保護機制（如Gatekeeper）也會跳過掃描.exe文件以查找任何惡意代碼。

　　病毒樣本是黑客僞裝的Mac和Windows上流行的防火牆應用程序Little Snitch的安裝程序，這個程序可以從各種torrent網站上下載。當安裝程序執行時，主文件也會啟動可執行文件，因為它是由包中包含的mono框架啟用的，該框架允許跨平台(如OSX)執行Microsoft.net應用程序。

　　該惡意軟件還掃描所有基礎和已安裝的應用程序，并用于收集目标Mac電腦的系統信息，并将其發送到攻擊者控制的遠程命令和控制服務器。

　　安裝後，exe惡意軟件還會下載并提示用戶安裝各種廣告軟件應用程序，其中一些應用程序僞裝成Adobe Flash Media Player等應用程序。

　　一個廣告軟件正假裝成一個常見的應用程序進行下載

　　在他們的分析中，研究人員發現與惡意軟件相關的“沒有特定的攻擊模式”，但是他們的遙測數據顯示，英國、澳大利亞、亞美尼亞、盧森堡、南非和美國的感染率最高，已經有蔓延開的趨勢。

　　有趣的是，安全研究人員無法在Windows上運行相同的惡意EXE文件——試圖在Windows上運行該文件會導緻錯誤，這意味着該惡意軟件是專門針對macOS用戶設計的。

　　在Windows中執行此安裝程序時發出的錯誤警告

　　研究人員推測，該惡意軟件可以作為一種逃避技術，繞過一些内置的安全措施，用于其他攻擊或感染，比如繞過數字認證檢查。至少在當前，MacOS安全功能無法識别EXE的這一特性不被更改的情況下，我們認為網絡犯罪分子仍在研究這款捆綁在app和torrent網站上的惡意軟件的發展機會，因此我們将繼續調查網絡犯罪分子如何使用這些信息和程序。用戶應避免或避免從未經驗證的來源和網站下載文件、程序和軟件，并應為其個人和企業系統安裝多層保護機制。

　　保護自己免受此類惡意軟件攻擊的最佳方法是避免從torrent網站或任何不受信任的來源下載計算機上的應用程序，工具和其他文件。

　　,