众所周知,EXE是用于Windows的官方可执行文件格式,仅在Windows平台上运行。通常情况下,试图在Mac或Linux操作系统上运行exe文件都是不可能的任务。
然而,趋势科技的安全研究人员发现了一种EXE文件,它采用了一种新方法绕过Apple的macOS安全保护,并通过部署通常只在Windows计算机上运行的恶意EXE文件来感染Mac计算机。
研究人员发现了一些恶意macOS应用程序样本(.dmg)伪装成torrent网站上流行软件的安装程序,其中包括使用mono框架编译的EXE应用程序,以使其与macOS兼容。
Mono是一个由Novell公司(由Xamarin发起)主持的项目,并由Miguel de lcaza领导的,一个致力于开创.net在Linux上使用的开源工程。它允许开发人员创建跨平台的.NET应用程序,这些应用程序可以在所有支持的平台上运行,包括Linux,Windows和Mac OS X.
研究人员向外媒透露,这个恶意文件能够绕过Mac的内置保护机制(比如Gatekeeper),原因是因为Gatekeeper仅检查本机Mac文件而不会检查EXE文件,因此该EXE文件能轻易绕过编码签名检查和验证的步骤。
通常,运行任何Windows可执行文件都会导致macOS出错系统及其内置的保护机制(如Gatekeeper)也会跳过扫描.exe文件以查找任何恶意代码。
病毒样本是黑客伪装的Mac和Windows上流行的防火墙应用程序Little Snitch的安装程序,这个程序可以从各种torrent网站上下载。当安装程序执行时,主文件也会启动可执行文件,因为它是由包中包含的mono框架启用的,该框架允许跨平台(如OSX)执行Microsoft.net应用程序。
该恶意软件还扫描所有基础和已安装的应用程序,并用于收集目标Mac电脑的系统信息,并将其发送到攻击者控制的远程命令和控制服务器。
安装后,exe恶意软件还会下载并提示用户安装各种广告软件应用程序,其中一些应用程序伪装成Adobe Flash Media Player等应用程序。
一个广告软件正假装成一个常见的应用程序进行下载
在他们的分析中,研究人员发现与恶意软件相关的“没有特定的攻击模式”,但是他们的遥测数据显示,英国、澳大利亚、亚美尼亚、卢森堡、南非和美国的感染率最高,已经有蔓延开的趋势。
有趣的是,安全研究人员无法在Windows上运行相同的恶意EXE文件——试图在Windows上运行该文件会导致错误,这意味着该恶意软件是专门针对macOS用户设计的。
在Windows中执行此安装程序时发出的错误警告
研究人员推测,该恶意软件可以作为一种逃避技术,绕过一些内置的安全措施,用于其他攻击或感染,比如绕过数字认证检查。至少在当前,MacOS安全功能无法识别EXE的这一特性不被更改的情况下,我们认为网络犯罪分子仍在研究这款捆绑在app和torrent网站上的恶意软件的发展机会,因此我们将继续调查网络犯罪分子如何使用这些信息和程序。用户应避免或避免从未经验证的来源和网站下载文件、程序和软件,并应为其个人和企业系统安装多层保护机制。
保护自己免受此类恶意软件攻击的最佳方法是避免从torrent网站或任何不受信任的来源下载计算机上的应用程序,工具和其他文件。
,
