Skip to main content

繞過Mac內建保護機制的 Windows惡意執行檔,會下載資料竊取病毒跟廣告軟體

EXE是在Windows的執行檔格式,這代表它們只在Windows平台上執行,這也是種安全的作法。在預設情況下,在 Mac或 Linux作業系統上執行 EXE檔只會顯示錯誤訊息。

趨勢科技發現一個 EXE 檔會繞過 Mac的內建保護機制(如Gatekeeper)來進行惡意行為。能夠繞過 Gatekeeper是因為EXE不會檢查,可以繞過程式碼簽章檢查和驗證,因為 Gatekeeper 只檢查原生Mac檔案。雖然沒有看到特定的攻擊模式,但我們的監測資料顯示英國、澳洲、亞美尼亞、盧森堡、南非和美國的感染數量最多。

行為

我們所分析的樣本是Mac和Windows上常見的防火牆應用程式(Little Snitch)安裝檔,可以從各種 torrent 網站下載。用.NET編譯的 Windows執行檔名稱如下:

  • Paragon_NTFS_for_Mac_OS_Sierra_Fully_Activated.zip
  • Wondershare_Filmora_924_Patched_Mac_OSX_X.zip
  • LennarDigital_Sylenth1_VSTi_AU_v3_203_MAC_OSX.zip
  • Sylenth1_v331_Purple_Skin__Sound_Radix_32Lives_v109.zip
  • TORRENTINSTANT.COM +  –  + Traktor_Pro_2_for_MAC_v321.zip
  • Little_Snitch_583_MAC_OS_X.zip

解壓縮下載的.ZIP檔案後,裡面包含裝有Little Snitch安裝檔的.DMG檔案。

圖1、解壓縮Windows執行檔所得到的檔案樣本。

圖2、我們分析的.DMG樣本內包含Little Snitch安裝檔。

檢查安裝檔內容後,我們發現應用程式內有異常的.EXE檔案,檢查後發現是會進行惡意行為的Windows執行檔。

圖3、Mac應用程式安裝檔所帶的可疑.EXE檔。

當執行安裝程式時,主檔案會啟動這支執行擋(透過內含的Mono Framework啟動)。Mono Framework可以讓Microsoft .NET應用程式跨平台(如OSX)執行。

惡意軟體在執行後會收集以下系統資料:

  • ModelName
  • ModelIdentifier
  • ProcessorSpeed
  • ProcessorDetails
  • NumberofProcessors
  • NumberofCores
  • Memory
  • BootROMVersion
  • SMCVersion
  • SerialNumber
  • UUID

惡意軟體還會掃描/Application目錄內所有的基本和已安裝應用程式,並將資料傳送到C&C伺服器:

  • App Store.app
  • Automator.app
  • Calculator.app
  • Calendar.app
  • Chess.app
  • Contacts.app
  • DVD Player.app
  • Dashboard.app
  • FaceTime.app
  • Font Book.app
  • Image Capture.app
  • iTunes.app
  • Launchpad.app
  • Mail.app
  • Maps.app
  • Messages.app
  • Mission Control.app
  • Notes.app
  • Photo Booth.app
  • Photos.app
  • Preview.app
  • QuickTime Player.app
  • Reminders.app
  • Safari.app
  • Siri.app
  • Stickies.app
  • System Preferences.app
  • TextEdit.app
  • Time Machine.app
  • UtilitiesiBooks.app

它會從網路下載下列檔案並儲存到目錄~/Library/X2441139MAC/Temp/

  • hxxp://install.osxappdownload.com/download/mcwnet
  • hxxp://reiteration-a.akamaihd.net/INSREZBHAZUIKGLAASDZFAHUYDWNBYTRWMFSOGZQNJYCAP/FlashPlayer.dmg
  • hxxp://cdn.macapproduct.com/installer/macsearch.dmg

圖4、儲存到目錄內的下載檔案。

這些.DMG檔案會在下載後安裝和執行,並在執行期間顯示授權協定。

圖5、被下載的廣告軟體冒充為常見的應用程式。

這張圖片的 alt 屬性值為空,它的檔案名稱為 win-app-run-mac-platform_6.jpg

圖6、檔案執行時顯示的授權協定。

此惡意軟體針對的是Mac系統。在Windows上執行會顯示錯誤訊息。

圖7、Windows執行安裝程式時的錯誤訊息。

現在在其他平台執行EXE可能會對非Windows系統(如MacOS)造成更大的影響。一般來說,系統安裝Mono Framework需要編譯或載入執行檔和程式庫。但在此案例中,將檔案與此框架綁在一起成為繞過系統防護的作法,因為EXE不是MacOS安全功能會識別的二進位執行檔。至於Windows和MacOS間的原生程式庫差異,可以利用Mono Framework的DLL映射功能來對應Windows和MacOS上的程式庫。

結論

趨勢科技認為這隻惡意軟體會被其他攻擊或病毒作為躲避技術,用來繞過內建的安全措施(如數位簽章檢查),因為它是Mac系統不支援的二進位執行檔。同時網路犯罪分子會繼續研究開發此惡意軟體並且與應用程式結合來放到torrent網站上。我們會繼續地調查網路犯罪分子會如何使用這些資訊和惡意行為。使用者應該要避免從未經驗證的來源或網站下載檔案、程式和軟體,並在個人或企業系統上安裝多層次的防護措施。

趨勢科技解決方案

以下是可以偵測並封鎖此威脅的趨勢科技產品:

PC-cillin雲端版for Mac >免費下載試用

趨勢科技Smart Protection Suites

入侵指標

主要執行檔
檔案 SHA256 偵測名稱
setup.dmg c87d858c476f8fa9ac5b5f68c48dff8efe3cee4d24ab11aebeec7066b55cbc53 TrojanSpy.MacOS.Winplyer.A
Installer.exe 932d6adbc6a2d8aa5ead5f7206511789276e24c37100283926bd2ce61e840045 TrojanSpy.Win32.Winplyer.A
OSX64_MACSEARCH.MSGL517 58cba382d3e923e450321704eb9b09f4a6be008189a30c37eca8ed42f2fa77af Adware.MacOS.MacSearch.A
chs2 3cbb3e61bf74726ec4c0d2b972dd063ff126b86d930f90f48f1308736cf4db3e Adware.MacOS.GENIEO.AB
Installer (2) e13c9ab5060061ad2e693f34279c1b1390e6977a404041178025373a7c7ed08a Adware.MacOS.GENIEO.AB
macsearch b31bf0da3ad7cbd92ec3e7cfe6501bea2508c3915827a70b27e9b47ffa89c52e Adware.MacOS.MacSearch.B
  C&C伺服器
hxxp://54.164.144.252:10000/loadPE/getOffers.php

@原文出處:Windows App Runs on Mac, Downloads Info Stealer and Adware 作者: Don Ladores和Luis Magisa)

◎延伸閱讀:

Mac 需要防毒軟體嗎?蘋果電腦也不要輕忽上網安全(中毒、病毒防護推薦)

Mac 會中毒嗎?ios系統還要裝防毒軟體?