Aplicación de Windows corre en Mac, descarga malware que roba tu info y adware

Cuando los .EXE no sólo funcionan en Windows y pueden ser maliciosos para un MacOS…

EXE es el formato de archivo ejecutable oficial utilizado por Windows para indicar que solo se ejecutan en plataformas Windows, lo que sirve como característica de seguridad. De forma predeterminada, intentar ejecutar un archivo EXE en un sistema operativo Mac o Linux solo mostrará una notificación de error.

Sin embargo, investigadores de Trend Micro descubrieron archivos EXE entregando un payload que anula los mecanismos de protección incorporados a MacOS, como Gatekeeper. Gatekeeper es una característica de seguridad que impone verificaciones a las aplicaciones descargadas antes de ejecutarlas y de es forma, reduce considerablemente las probabilidades de ejecutar malware.

El caso de este ejecutable malicioso funciona porque Gatekeeper no comprueba EXE, y de esta forma, evade la verificación de la firma del código ya que la tecnología solo verifica los archivos nativos de Mac. Si bien no se observa ningún patrón de ataque específico, se indica que los números más altos de infecciones en el Reino Unido, Australia, Armenia, Luxemburgo, Sudáfrica y los Estados Unidos.

Los investigadores analizaron, como ejemplo, el instalador de una popular aplicación para Mac y Windows llamada “Little Snitch”, disponible para ser descargada desde varios sitios de descarga de torrents. Los nombres del ejecutable de Windows compilado en .NET son los siguientes:

  • Paragon_NTFS_for_Mac_OS_Sierra_Fully_Activated.zip
  • Wondershare_Filmora_924_Patched_Mac_OSX_X.zip
  • LennarDigital_Sylenth1_VSTi_AU_v3_203_MAC_OSX.zip
  • Sylenth1_v331_Purple_Skin__Sound_Radix_32Lives_v109.zip
  • TORRENTINSTANT.COM+-+Traktor_Pro_2_for_MAC_v321.zip
  • Little_Snitch_583_MAC_OS_X.zip

Cuando se extrae el archivo .ZIP descargado, éste contiene un archivo .DMG que aloja el instalador de Little Snitch.

Al inspeccionar el contenido del instalador, encontraron la presencia inusual del archivo .EXE empaquetado dentro de la aplicación, verificado como un ejecutable de Windows responsable del payload malintencionado.

Cuando el instalador es ejecutado, el archivo principal también lanza el ejecutable, que es habilitado por el mono-framework incluido en el «bundle». Este framework permite la ejecución de aplicaciones .NET de Microsoft en plataformas como OSX.

Una vez que el malware se ejecuta, recolecta la siguiente información:

  • ModelName
  • ModelIdentifier
  • ProcessorSpeed
  • ProcessorDetails
  • NumberofProcessors
  • NumberofCores
  • Memory
  • BootROMVersion
  • SMCVersion
  • SerialNumber
  • UUID

Bajo el directorio /Application, el malware escanea todas las aplicaciones básicas e instaladas y la envía al servidor de command and control (C2 ó C&C)

  • App Store.app
  • Automator.app
  • Calculator.app
  • Calendar.app
  • Chess.app
  • Contacts.app
  • DVD Player.app
  • Dashboard.app
  • FaceTime.app
  • Font Book.app
  • Image Capture.app
  • iTunes.app
  • Launchpad.app
  • Mail.app
  • Maps.app
  • Messages.app
  • Mission Control.app
  • Notes.app
  • Photo Booth.app
  • Photos.app
  • Preview.app
  • QuickTime Player.app
  • Reminders.app
  • Safari.app
  • Siri.app
  • Stickies.app
  • System Preferences.app
  • TextEdit.app
  • Time Machine.app
  • UtilitiesiBooks.app

Descarga los siguientes archivos desde la internet y los guarda en el directorio ~/Library/X2441139MAC/Temp/:

  • hxxp://install.osxappdownload.com/download/mcwnet
  • hxxp://reiteration-a.akamaihd.net/INSREZBHAZUIKGLAASDZFAHUYDWNBYTRWMFSOGZQNJYCAP/FlashPlayer.dmg
  • hxxp://cdn.macapproduct.com/installer/macsearch.dmg

Estos archivos .DMG son montados y ejecutados apenas estén listos, y comienzan a mostrar pantallas de aplicaciones no deseadas (PUA: Potentially Unwanted Application) mientras se está ejecutando

Este malware está diseñado específicamente para Mac. Si lo intentas hacer funcionar en Windows, obtienes una notificación de error:

Podemos concluir que la ejecución de EXE en otras plataformas puede tener un mayor impacto en sistemas que no son Windows, como MacOS. Normalmente, se requiere un mono-framework instalado en el sistema para compilar o cargar archivos ejecutables y bibliotecas. Sin embargo, en este caso, el agrupamiento de los archivos con dicho framework se convierte en una solución alternativa, un atajo, para evitar los sistemas de seguridad, dado que el EXE no es un ejecutable binario reconocido por las características de seguridad de MacOS. En cuanto a las diferencias de la biblioteca nativa entre Windows y MacOS, el mono-framework admite la asignación de DLL para admitir las dependencias exclusivas a Windows y sus homólogos de MacOS.

Desde Security Intelligence, el blog de investigación de Trend Micro nos entregan los Indicadores de Compromiso en la siguiente tabla:

Este malware específico se puede usar como una técnica de evasión para otros ataques o intentos de infección para evitar algunas medidas de seguridad integradas, como las verificaciones de certificación digital, ya que es un ejecutable binario no compatible en sistemas Mac por diseño.

Los usuarios deben evitar o abstenerse de descargar archivos, programas y software de fuentes y sitios web no verificados, e instalar una protección de múltiples capas para sus sistemas individuales y empresariales.