Windows Malware работи на Mac компютри, заобикаля Gatekeeper
Очевидно е, че ползването на пиратски софтуер води до големи рискове и това отново се доказа от набор от злонамерени изпълними файлове, насочени към MacOS потребители, съдържащи InfoStealer и рекламен софтуер, и компилирани успешно като Windows EXE бинарни файлове с помощта на свободната Mono Framework.
Mono има за цел да позволи на разработчиците да създават крос-платформени приложения .NET, част от .NET Foundation, които по-късно могат да се използват на различни платформи, от MacOS, Windows, Android, повечето дистрибуции на Linux, BSD и Solaris, както и на някои игрови конзоли като PlayStation, Xbox и Wii.
Осъществените тестове от Дон Ладорес и Луис Магиса откриват множество зловредни програми, които се разпространяват чрез торент сайтове от различни държави, включително и български, и обещават да доставят кракнати версии на различен софтуер:
- Little_Snitch_583_MAC_OS_X.zip
- Paragon_NTFS_for_Mac_OS_Sierra_Fully_Activated.zip
- Wondershare_Filmora_924_Patched_Mac_OSX_X.zip
- LennarDigital_Sylenth1_VSTi_AU_v3_203_MAC_OSX.zip
- Sylenth1_v331_Purple_Skin__Sound_Radix_32Lives_v109.zip
- TORRENTINSTANT.COM+-+Traktor_Pro_2_for_MAC_v321.zip
Моnо-базирани бинарни файлове ще се стартират безпрепятствено, докато времето на работа на Mono е налично в системата, а авторите на заплахата са се уверили, че техният зловреден софтуер ще може да се изпълнява чрез пакетно копиране на рамката Mono в изтеглените инсталатори.
Инсталационната програма в Little_Snitch_583_MAC_OS_X.zip (тази, която Ладорес и Магиса избраха да анализират) прилича на всяко друго MacOS приложение, но при по-внимателно разглеждане, когато се погледне в пакета за приложения, изследователите са успели да открият злонамерено изработени EXE файлове, които ще доставят “злонамерен полезен товар, който преодолява вградените защитни механизми на Mac, като например Gatekeeper.”
Фактът, че изпълняващите се файлове за Windows не са нещо обичайно за macOS (всъщност, опитвайки се да го направите ще покаже само грешка), позволява на злонамерените EXE файлове да заобикалят macOS ‘механизма за защита на Gatekeeper, който не ги разпознава като native бинарен файл, и не проверява статуса им оторизационна заверка и подпис на ID на разработчика.
“Макар да не се наблюдава конкретен модел на атака, телеметрията ни показа най-високите стойности за инфекциите в Обединеното кралство, Австралия, Армения, Люксембург, Южна Африка и Съединените щати”, казват анализаторите.
След като бъде пуснат на Mac на жертвата, зловредният софтуер автоматично ще започне да събира системна информация (т.е. ModelName, ModelIdentifier, ProcessorSpeed, ProcessorDetails, NumberofProcessors, NumberofCores, Memory, BootROMVersion, SMCVersion, SerialNumber, UUID.)
В следващата стъпка ще бъдат изброени всички приложения, инсталирани на Mac, и ще бъде прехвърлена цялата информация, която е събрала, на сървъра за управление и контрол (C&C).
Въпреки че няма очевидна цел за събиране на тази информация, хакерите могат по-късно да я използват, за да генерират статистически данни за потенциален ботнет, ако някога решат да създадат такава, използвайки компрометираните Mac-ове.
След това грабва следните файлове, съхранява ги в ~ / Library / X2441139MAC / Temp /, монтира ги като DMG изображения и изпълнява бинарните файлове, съдържащи се в:
- hxxp://install.osxappdownload.com/download/mcwnet
- hxxp://reiteration-a.akamaihd.net/INSREZBHAZUIKGLAASDZFAHUYDWNBYTRWMFSOGZQNJYCAP/FlashPlayer.dmg
- hxxp://cdn.macapproduct.com/installer/macsearch.dmg
От тестовете, проведени от анализаторите, основният полезен товар в злонамерения изпълнителен файл избутва рекламен пакет с плащане на инсталация от компания за монетизация InstallCapital.
InstallCapital е добре известен рекламен пакет, който обикновено се използва като част от Windows базираните данни за инсталиране на многобройни нежелани програми, включително, рекламни, нежелани разширения, миньори, и дори понякога носи някои щамове на рансъмуер.
Докато разработчиците на зловреден софтуер използват нетрадиционен подход, за да доставят Windows базирани компоненти на полезен товар като InstallCapital, техните злонамерени EXE бинарни файлове няма да работят на Windows системи, тъй като при стартирането им изглеждат специално за библиотеките на Mac Xamarin и рязко се изключват преди да дропнат само необработена грешка.
Изследователският екип заключава, че “този специфичен зловреден софтуер може да се използва като техника за избягване на други атаки или опити за заобикаляне на някои вградени предпазни мерки като цифрови сертификационни проверки, тъй като това е неподдържан бинарен изпълним файл в системи Mac.”
Въпреки че в момента този крос-платформен злонамерен софтуер само принуждава рекламодателите и InfoStealer програми към потребителите на Mac, които рискуват да изтеглят компрометиран софтуер, в бъдеще полезният товар може да се промени по всяко време, за да окаже помощ на доста по-опасни семейства от зловреден софтуер като например рансъмуер.
В края на анализа се предоставят индикатори за компрометиране на торенти като SHA256 хешове за изпълними файлове, открити от изследователите по торент сайтове и адреси на C&C сървъри.
Припомняме, че всички продукти на Panda Security са приложими и на Мас устройства, при това на същата цена като за останалите платформи. Вие и вашата мрежа няма да станете жертва на нито една от описаните таки, ако ползвате някое от EDR решенията на Panda, които правят мониторинг и диагностициране на всички процеси, стартирани на устройството Ви.
Източник: По материали от интернет