衆所周知,EXE是用于Windows的官方可執行文件格式,僅在Windows平台上運行。通常情況下,試圖在Mac或Linux操作系統上運行exe文件都是不可能的任務。
然而,趨勢科技的安全研究人員發現了一種EXE文件,它采用了一種新方法繞過Apple的macOS安全保護,并通過部署通常隻在Windows計算機上運行的惡意EXE文件來感染Mac計算機。
研究人員發現了一些惡意macOS應用程序樣本(.dmg)僞裝成torrent網站上流行軟件的安裝程序,其中包括使用mono框架編譯的EXE應用程序,以使其與macOS兼容。
Mono是一個由Novell公司(由Xamarin發起)主持的項目,并由Miguel de lcaza領導的,一個緻力于開創.net在Linux上使用的開源工程。它允許開發人員創建跨平台的.NET應用程序,這些應用程序可以在所有支持的平台上運行,包括Linux,Windows和Mac OS X.
研究人員向外媒透露,這個惡意文件能夠繞過Mac的内置保護機制(比如Gatekeeper),原因是因為Gatekeeper僅檢查本機Mac文件而不會檢查EXE文件,因此該EXE文件能輕易繞過編碼簽名檢查和驗證的步驟。
通常,運行任何Windows可執行文件都會導緻macOS出錯系統及其内置的保護機制(如Gatekeeper)也會跳過掃描.exe文件以查找任何惡意代碼。
病毒樣本是黑客僞裝的Mac和Windows上流行的防火牆應用程序Little Snitch的安裝程序,這個程序可以從各種torrent網站上下載。當安裝程序執行時,主文件也會啟動可執行文件,因為它是由包中包含的mono框架啟用的,該框架允許跨平台(如OSX)執行Microsoft.net應用程序。
該惡意軟件還掃描所有基礎和已安裝的應用程序,并用于收集目标Mac電腦的系統信息,并将其發送到攻擊者控制的遠程命令和控制服務器。
安裝後,exe惡意軟件還會下載并提示用戶安裝各種廣告軟件應用程序,其中一些應用程序僞裝成Adobe Flash Media Player等應用程序。
一個廣告軟件正假裝成一個常見的應用程序進行下載
在他們的分析中,研究人員發現與惡意軟件相關的“沒有特定的攻擊模式”,但是他們的遙測數據顯示,英國、澳大利亞、亞美尼亞、盧森堡、南非和美國的感染率最高,已經有蔓延開的趨勢。
有趣的是,安全研究人員無法在Windows上運行相同的惡意EXE文件——試圖在Windows上運行該文件會導緻錯誤,這意味着該惡意軟件是專門針對macOS用戶設計的。
在Windows中執行此安裝程序時發出的錯誤警告
研究人員推測,該惡意軟件可以作為一種逃避技術,繞過一些内置的安全措施,用于其他攻擊或感染,比如繞過數字認證檢查。至少在當前,MacOS安全功能無法識别EXE的這一特性不被更改的情況下,我們認為網絡犯罪分子仍在研究這款捆綁在app和torrent網站上的惡意軟件的發展機會,因此我們将繼續調查網絡犯罪分子如何使用這些信息和程序。用戶應避免或避免從未經驗證的來源和網站下載文件、程序和軟件,并應為其個人和企業系統安裝多層保護機制。
保護自己免受此類惡意軟件攻擊的最佳方法是避免從torrent網站或任何不受信任的來源下載計算機上的應用程序,工具和其他文件。
,