Windows .exe failas — kenkėjas nusitaikęs į macOS

Pasirodo, kad „Windows“ operacinei sistemai skirti, .exe failai, jei sukompiliuoti naudojant tam tikrą „framework'ą“ gali būti pavojingi ir „Mac“ kompiuteriams veikiantiems „macOS“ pagrindu.

„Trend Micro“ saugumo ekspertai aptiko naują programišių naudojamą būdą leidžiantį apeiti „macOS“ apsaugos priemones ir užkrėsti „Mac“ kompiuterį. Šis būdas atrodo gana keistai ir kiek netikėtai, nes jis yra kenkėjiško .exe failo, kuris įprastai veikia tik „Windows“ operacinėje sistemoje, įdiegimas „Mac“ kompiuteryje.

Saugumo ekspertai aptiko kelis kenkėjiškos „macOS“ aplikacijos (.dmg), besimaskuojančios kaip populiarios programinės įrangos diegimo paketai, platinamos torrentų svetainėse, pavyzdžius. Šiame pakete yra .exe aplikacija sukompiliuota naudojant „Moni“ framework’ą, kuris ją padaro suderinamą su „macOS“.

„Mono“ tai atviro kodo „Microsoft“ NET framework’o implementacija leidžianti programuotojams kurti multiplatformines .NET aplikacijas veikiančias skirtingų operacinių sistemų aplinkose, tokiose kaip: „Linux“, „Windows“ ir „macOS“.

Įprastai, bandant paleisti „Windows“ operacinei sistemai skirtą paleidžiamąjį failą „macOS“ aplinkoje, to padaryti nepavyksta ir naudotojui parodomas klaidos pranešimas, o „Mac“ kompiuteriams skirtos operacinės sistemos apsaugos mechanizmas, toks kaip „Gatekeeper“ ignoruoja .exe failus ir netikrina ar juose yra kenkėjiškas kodas.

„Šis būdas apeina „Gatekeeper“ apsaugą, nes EXE failai šios programinės įrangos nėra tikrinami. Ši „Mac“ kompiuterių saugumui skirta technologija tikrina tik „Mac“ skirtus failus“, — savo žiniaraštyje pirmadienį paskelbtame įraše teigia „Trend Micro“.

Viename saugumo ekspertų tyrinėtame diegimo pakete, kuris turėtų įdiegti ugniasienės aplikaciją „Little Snitch“, aptiktas ir „Mono“ pagalba sukompiliuotas paslėptas „kovinis užtaisas“, skirtas rinkti ir siųsti į programišių kontroliuojamą nuotolinį komandų centrą informaciją apie užkrėsto „Mac“ sistemą, kompiuterio parametrus bei įdiegtas aplikacijas. Kenkėjas taip pat į kompiuterio ~/Library/X2441139MAC/Temp/ aplanką atsiunčia kelis failus, kurie juos atsiuntus paleidžiami.

Šio naujoviško „Mac“ kompiuterių užkrėtimo kenkėjišku kodu požymiai aptikti ne tik „Little Snitch“ aplikacijos diegimo pakete (Little_Snitch_583_MAC_OS_X.zip), bet ir Paragon_NTFS_for_Mac_OS_Sierra_Fully_Activated.zip, Wondershare_Filmora_924_Patched_Mac_OSX_X.zip, LennarDigital_Sylenth1_VSTi_AU_v3_203_MAC_OSX.zip, Sylenth1_v331_Purple_Skin__Sound_Radix_32Lives_v109.zip, TORRENTINSTANT.COM+-+Traktor_Pro_2_for_MAC_v321.zip. Kenkėjiško kodo diegimo būdas leidžia nesunkiai jį įdiegti bei platinti ir su kitais torrent’ų svetainėse platinamų „Mac“ aplikacijų diegimo paketais. Tai, kad saugumo ekspertai kenkėjo nepatiko kitų aplikacijų paketuose — nereiškia, kad jų ten nėra. Ne visas aplikacijas ir ne visose torentų svetainėse jie, tikriausiai, tikrino.

Analizuodami kenkėjišką kodą ekspertai neaptiko jokių specifinių atakos požymių leidžiančių manyti, kad tai yra į tam tikrą naudotojų grupę nutaikyta ataka. Ekspertų telemetriniai duomenys rodo, kad didžiausias kenkėjo užkrėstų kompiuterių koncentracija yra: Jungtinėje Karalystėje, Australijoje, Armėnijoje, Liuksemburge, Pietų Afrikoje ir JAV.

Įdomu tai, kad to paties EXE failo ekspertams nepavyko paleisti „Windows“ operacinės sistemos pagrindu veikiančiame kompiuteryje. Bandymas paleisti failą „Windows“ PC — iššaukdavo klaidą ir tai rodo, kad failas nutaikytas tik į „macOS“ naudotojus.

Geriausias būdas apsisaugoti nuo šio, ir eilės kitų, kenkėjų yra vengti siųstis aplikacijas, įrankius ir kitokius failus iš torentų svetainių ar bet kokių kitų nepatikimų šaltinių.