利用EXE文件攻击MacOS

iso60001  2134天前

22.jpg

EXE是Windows的官方规定的可执行文件格式,一般来说,它们仅会在Windows平台上运行。默认情况下,如果你尝试在Mac或Linux操作系统上运行exe文件,系统只会报出错误通知。

然而,趋势科技近期发现了一种恶意exe文件,它会通过释放某种payload来覆盖Mac系统保护机制,例如Gatekeeper。而且Gatekeeper只检查本地的Mac文件,不会去验证是exe文件的安全性,这就大大增强了这种恶意软件的免杀能力。

虽然没有摸清该恶意软件具体的攻击流程,但根据监控,英国、澳大利亚、亚美尼亚、卢森堡、南非和美国的很多苹果用户受到感染。

行为

趋势科技捕捉到的样本从表面上看是一个很流行的防火墙程序Little Snitch,可从各种torrent网站下载。其中包含.NET编译的Windows可执行文件。下载文件名称如下:

  • Paragon_NTFS_for_Mac_OS_Sierra_Fully_Activated.zip
  • Wondershare_Filmora_924_Patched_Mac_OSX_X.zip
  • LennarDigital_Sylenth1_VSTi_AU_v3_203_MAC_OSX.zip
  • Sylenth1_v331_Purple_Skin__Sound_Radix_32Lives_v109.zip
  • TORRENTINSTANT.COM+-+Traktor_Pro_2_for_MAC_v321.zip
  • Little_Snitch_583_MAC_OS_X.zip

当用户提取下载的zip文件时,会发现一个dmg文件,看起来像Little Snitch的安装文件。

33.jpg

44.jpg

通过检查这个安装程序的内容,我们发现在其内部发现了exe文件,其中包含负责感染的payload。

55.jpg

当安装程序执行时,主文件也会启动exe文件,因为其捆绑一个mono框架,允许Mac跨平台执行Microsoft的.NET程序。

一旦运行,这个恶意软件将收集以下系统信息:

  • ModelName
  • ModelIdentifier
  • ProcessorSpeed
  • ProcessorDetails
  • NumberofProcessors
  • NumberofCores
  • Memory
  • BootROMVersion
  • SMCVersion
  • SerialNumber
  • UUID

此外,恶意软件还会扫描所有系统自带和已安装的程序,并将所有信息发送到C&C服务器:

  • App Store.app
  • Automator.app
  • Calculator.app
  • Calendar.app
  • Chess.app
  • Contacts.app
  • DVD Player.app
  • Dashboard.app
  • FaceTime.app
  • Font Book.app
  • Image Capture.app
  • iTunes.app
  • Launchpad.app
  • Mail.app
  • Maps.app
  • Messages.app
  • Mission Control.app
  • Notes.app
  • Photo Booth.app
  • Photos.app
  • Preview.app
  • QuickTime Player.app
  • Reminders.app
  • Safari.app
  • Siri.app
  • Stickies.app
  • System Preferences.app
  • TextEdit.app
  • Time Machine.app
  • UtilitiesiBooks.app

它还会从网络上下载如下所示文件,并将其保存到目录~/Library/X2441139MAC/Temp/

  • hxxp://install.osxappdownload.com/download/mcwnet
  • hxxp://reiteration-a.akamaihd.net/INSREZBHAZUIKGLAASDZFAHUYDWNBYTRWMFSOGZQNJYCAP/FlashPlayer.dmg
  • hxxp://cdn.macapproduct.com/installer/macsearch.dmg

66.jpg

这些dmg文件一下载好就会被安装执行,相关页面如下:

77.jpg

99.jpg

此类恶意软件专门针对Mac用户。当在Windows中运行时会报错。

88.jpg

由于目前MacOS的安全系统无法对exe文件进行检查,所以exe文件可能会对非Windows系统产生更大的安全威胁。

结论

从目前情况来看,黑客对这种攻击技术仍处于研究摸索阶段,为了彻底防止这种攻击,用户应尽量避免使用来源不明的程序软件。

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://blog.trendmicro.com/trendlabs-security-intelligence/windows-app-runs-on-mac-downloads-info-stealer-and-adware/

最新评论

昵称
邮箱
提交评论