Cibercriminosos usam formato Windows para ações contra o Mac 

Arquivo no formato EXE, disponível em sites de torrent e disfarçado de firewall, burla os mecanismos de proteção dos dispositivos Apple

Compartilhar:

EXE é o formato de arquivo oficial usado exclusivamente para o Windows que serve como um recurso de segurança. Por padrão, a tentativa de executar um arquivo EXE em um Mac ou sistema operacional Linux mostrará apenas uma notificação de erro.

 

No entanto, os pesquisadores da Trend Micro encontraram arquivos EXE fornecendo uma carga maliciosa que anula os mecanismos de proteção integrados do Mac, como o Gatekeeper. Essa rotina escapa do Gatekeeper, porque o EXE não é verificado por este software, evitando a verificação da assinatura do código, pois a tecnologia só verifica arquivos Mac nativos. Embora nenhum padrão de ataque específico seja visto, a telemetria da Trend Micro mostrou os números mais altos de infecções no Reino Unido, Austrália, Armênia, Luxemburgo, África do Sul e Estados Unidos.

 

Segundo Don Ladores, Líder Técnico da Trend, a suspeita é que esse malware específico possa ser usado como uma técnica de evasão para outras tentativas de ataque ou infecção para contornar algumas salvaguardas internas, como verificações de certificação digital, já que ele é um executável binário não suportado nos sistemas Mac por design. “Os criminosos cibernéticos parecem estar ainda estudando o desenvolvimento e as oportunidades desse malware incluído em aplicativos disponíveis em sites de torrent”.

 

Como funciona

 

O exemplo que a Trend Micro examinou é um instalador de um aplicativo de firewall popular para Mac e Windows chamado Little Snitch, disponível para download em vários sites de torrent. Quando o arquivo .ZIP baixado é extraído, ele contém um arquivo .DMG que hospeda o instalador do Little Snitch. Inspecionando o conteúdo do instalador, os pesquisadores descobriram a presença incomum do arquivo .EXE incluído dentro do aplicativo, que se verifica ser um executável do Windows responsável pela carga maliciosa.

 

Quando o instalador é executado, o arquivo principal também ativa o executável, já que é habilitado pela estrutura mono incluída no pacote. Essa estrutura permite a execução de aplicativos Microsoft .NET em plataformas como o OSX. Uma vez executado, o malware coleta as seguintes informações do sistema: model name, model identifier, velocidade do processador, processor details, number of processors, número de núcleos, memória, bootromversion, smcversion, número de série e UUID.

 

No diretório, o malware também verifica todos os aplicativos básicos e instalados e envia todas as informações para o servidor C&C. Este malware é executado especificamente para atingir usuários de Mac. A tentativa de executar a amostra no Windows exibe uma notificação de erro.

 

Para evitar o malware, Don explica que os usuários devem evitar ou se abster de fazer download de arquivos, programas e softwares de fontes e sites não verificados e instalar uma proteção em várias camadas para seus sistemas individuais e corporativos.

 

Conteúdos Relacionados

Security Report | Overview

Google, Facebook e Amazon são as marcas mais usadas em roubos de credenciais, diz relatório

Kaspersky aponta aumento de ataques de phishing a grandes marcas e a causa pode estar na sofisticação e agressividade de...
Security Report | Overview

Febraban alerta para golpes mais aplicados nas compras de Natal

Cliente deve redobrar cuidados ao fazer compras no e-commerce e com seu cartão nas lojas de rua de grandes centros...
Security Report | Overview

Bloqueio de fraudes na Black Friday crescem 270% em 2024

Novo dado foi divulgado pela Visa recentemente. Já na Cyber Monday, a empresa afirma ter bloqueado 85% a mais de...
Security Report | Overview

Como o cenário de malwares evoluiu na América Latina em 2024?

A evolução dos malwares focados na América Latina em 2024 destaca a adaptabilidade e a engenhosidade de seus desenvolvedores, que...