利用EXE文件攻击MacOS

EXE是Windows的官方规定的可执行文件格式，一般来说，它们仅会在Windows平台上运行。默认情况下，如果你尝试在Mac或Linux操作系统上运行exe文件，系统只会报出错误通知。

然而，趋势科技近期发现了一种恶意exe文件，它会通过释放某种payload来覆盖Mac系统保护机制，例如Gatekeeper。而且Gatekeeper只检查本地的Mac文件，不会去验证是exe文件的安全性，这就大大增强了这种恶意软件的免杀能力。

虽然没有摸清该恶意软件具体的攻击流程，但根据监控，英国、澳大利亚、亚美尼亚、卢森堡、南非和美国的很多苹果用户受到感染。

行为

趋势科技捕捉到的样本从表面上看是一个很流行的防火墙程序Little Snitch，可从各种torrent网站下载。其中包含.NET编译的Windows可执行文件。下载文件名称如下：

当用户提取下载的zip文件时，会发现一个dmg文件，看起来像Little Snitch的安装文件。

通过检查这个安装程序的内容，我们发现在其内部发现了exe文件，其中包含负责感染的payload。

当安装程序执行时，主文件也会启动exe文件，因为其捆绑一个mono框架，允许Mac跨平台执行Microsoft的.NET程序。

一旦运行，这个恶意软件将收集以下系统信息：

此外，恶意软件还会扫描所有系统自带和已安装的程序，并将所有信息发送到C&C服务器：

它还会从网络上下载如下所示文件，并将其保存到目录~/Library/X2441139MAC/Temp/：

这些dmg文件一下载好就会被安装执行，相关页面如下：

此类恶意软件专门针对Mac用户。当在Windows中运行时会报错。

由于目前MacOS的安全系统无法对exe文件进行检查，所以exe文件可能会对非Windows系统产生更大的安全威胁。

结论

从目前情况来看，黑客对这种攻击技术仍处于研究摸索阶段，为了彻底防止这种攻击，用户应尽量避免使用来源不明的程序软件。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://blog.trendmicro.com/trendlabs-security-intelligence/windows-app-runs-on-mac-downloads-info-stealer-and-adware/