Hackerii încearcă să direcționeze virușii de pe Windows către MacOS

Creatorii de malware experimentează un nou mod de a infecta utilizatorii de Mac care rulează fișiere executabile care funcționează în mod normal numai pe calculatoarele cu Windows.
Cercetătorii de la furnizorii de antivirus Trend Micro au făcut această descoperire după ce au analizat o aplicație disponibilă pe un site Torrent care a promis că va instala Little Snitch, o aplicație firewall pentru MacOS. Încarcat în interiorul fișierului DMG a fost un fișier EXE care a venit cu un pachet suplimentar. Cercetătorii suspectează că rutina are rolul de a ocoli Gatekeeper, o funcție de securitate integrată în MacOS, care cere ca aplicațiile să fie semnate cu cod înainte ca acestea să poată fi instalate. Fișierele EXE nu sunt supuse acestei verificări, deoarece Gatekeeper doar inspectează fișierele native macOS.
Cercetătorii Trend Micro Don Ladores și Luis Magisa au scris:
Susținem că acest malware specific poate fi folosit ca tehnică de evaziune pentru alte încercări de atac sau de infectare pentru a evita anumite sisteme, cum ar fi verificările de certificare digitală, deoarece este un executabil binar neacceptat în sistemele Mac prin design. Credem că infractorii cibernetici studiază în continuare dezvoltarea și oportunitățile din acest malware în pachete și disponibile pe site-uri torrent și, prin urmare, vom continua să investigăm modul în care infractorii cibernetici pot utiliza aceste informații și rutine.
În mod implicit, fișierele EXE nu vor fi rulate pe un Mac. Programul de instalare Little Snitch a lucrat în jurul acestei limitări prin legarea fișierului EXE de un framework gratuit cunoscut sub numele de Mono. Mono permite executabililor Windows să ruleze pe MacOS, Android și o varietate de alte sisteme de operare. Acesta a furnizat, de asemenea, DLL mapping și alte suporturi necesare pentru fișierul EXE ascuns pentru a se putea rula și instala pe furiș. Interesant, cercetatorii nu au putut face acelasi EXE să ruleze pe Windows.
Cercetatorii au scris:
În prezent, executarea EXE pe alte platforme poate avea un impact mai mare asupra sistemelor non-Windows, cum ar fi MacOS. În mod normal, este necesar un cadru mono instalat în sistem pentru a compila sau încărca executabile și biblioteci. În acest caz, însă, gruparea fișierelor cu cadrul menționat devine o soluție de ocolire a sistemelor, atâta timp cât EXE nu este un executabil binar recunoscut de caracteristicile de securitate ale MacOS. În ceea ce privește diferențele dintre bibliotecile native dintre Windows și MacOS, framework-ul mono acceptă DLL mapping pentru a suporta dependențele pentru Windows față de omoloagele lor pe MacOS.
Cercetătorii au analizat programul de instalare pentru Little Snitch și au descoperit că acesta a colectat o multitudine de detalii despre sistemul infectat, inclusiv ID-ul său unic, numele modelului și aplicațiile instalate. Apoi a descărcat și instalat diverse aplicații adware, dintre care unele au fost deghizate ca versiuni legitime ale Little Snitch și Adobe Flash Media Player.