EXE é o formato de arquivo oficial usado exclusivamente para o Windows que serve como um recurso de segurança. Por padrão, a tentativa de executar um arquivo EXE em um Mac ou sistema operacional Linux mostrará apenas uma notificação de erro.
No entanto, os pesquisadores da Trend Micro encontraram arquivos EXE fornecendo uma carga maliciosa que anula os mecanismos de proteção integrados do Mac, como o Gatekeeper. Essa rotina escapa do Gatekeeper, porque o EXE não é verificado por este software, evitando a verificação da assinatura do código, pois a tecnologia só verifica arquivos Mac nativos. Embora nenhum padrão de ataque específico seja visto, a telemetria da Trend Micro mostrou os números mais altos de infecções no Reino Unido, Austrália, Armênia, Luxemburgo, África do Sul e Estados Unidos.
Segundo Don Ladores, Líder Técnico da Trend, a suspeita é que esse malware específico possa ser usado como uma técnica de evasão para outras tentativas de ataque ou infecção para contornar algumas salvaguardas internas, como verificações de certificação digital, já que ele é um executável binário não suportado nos sistemas Mac por design. “Os criminosos cibernéticos parecem estar ainda estudando o desenvolvimento e as oportunidades desse malware incluído em aplicativos disponíveis em sites de torrent”.
Como funciona
O exemplo que a Trend Micro examinou é um instalador de um aplicativo de firewall popular para Mac e Windows chamado Little Snitch, disponível para download em vários sites de torrent. Quando o arquivo .ZIP baixado é extraído, ele contém um arquivo .DMG que hospeda o instalador do Little Snitch. Inspecionando o conteúdo do instalador, os pesquisadores descobriram a presença incomum do arquivo .EXE incluído dentro do aplicativo, que se verifica ser um executável do Windows responsável pela carga maliciosa.
Quando o instalador é executado, o arquivo principal também ativa o executável, já que é habilitado pela estrutura mono incluída no pacote. Essa estrutura permite a execução de aplicativos Microsoft .NET em plataformas como o OSX. Uma vez executado, o malware coleta as seguintes informações do sistema: model name, model identifier, velocidade do processador, processor details, number of processors, número de núcleos, memória, bootromversion, smcversion, número de série e UUID.
No diretório, o malware também verifica todos os aplicativos básicos e instalados e envia todas as informações para o servidor C&C. Este malware é executado especificamente para atingir usuários de Mac. A tentativa de executar a amostra no Windows exibe uma notificação de erro.
Para evitar o malware, Don explica que os usuários devem evitar ou se abster de fazer download de arquivos, programas e softwares de fontes e sites não verificados e instalar uma proteção em várias camadas para seus sistemas individuais e corporativos.
