Investigadores de los laboratorios de seguridad de Trend Micro han descubierto archivos .EXE aparentemente capaces de anular los mecanismos de protección de macOS como Gatekeeper.
La cuestión es que .EXE es el formato de archivo ejecutable que se usa en Windows y que indica que solo pueden usarse en el sistema operativo de Micorosft. Según Trend Micro, estos archivos maliciosos son capaces de evadir Gatekeeper porque este solo revisa los archivos nativos de Mac.
Cómo explican los investigadores, encontraron una muestra a través de una app popular de cortafuegos para Windows y Mac llamada "Little Snitch" que está disponible en varios sitios de torrents.
Malware para Mac disfrazado de app falsa con una carga maliciosa oculta dentro de un ejecutable para Windows
Cuando el usuario descarga el torrent, este contiene un archivo .ZIP comprimido, dentro hay un .DMG (el formato de ejecutables en macOS) que contiene un instalador falso para la app Little Snitch. Cuando ese instalador se ejecuta, el archivo principal entrega una carga maliciosa escondida.
El instalador pasa entonces a recopilar una gran cantidad de detalles del sistema, como el identificador único, nombre de modelo, y las apps instaladas. Además también descargaba adware disfrazado como versiones legítimas de Flash y Little Snitch.
Al inspeccionar el paquete los investigadores encontraron la presencia inusual de archivo .EXE y verificaron que era el responsable de la carga maliciosa. Como es un ejecutable para Windows, este se salta la verificación de la firma del código de Gatekeeper que solo se hace en las apps nativas de Mac.
Un .EXE por defecto no puede ejecutarse en macOS, sin embargo el instalador malicioso de Little Snitch se salta esta limitación empaquetando el .EXE con un framework conocido como Mono. Mono permite que ejecutables para Windows puedan correr en macOS, Android y otros sistemas.
Sin embargo, algunos investigadores apuntan que realmente no hay un problema de anulación de Gatekeeper, ya que el binario principal de la app es estándar y Gatekeeper lo bloqueará si no está firmado o tiene un certificado revocado. Sin embargo, si el usuario permite su ejecución, entonces puede ejecutar Mono y el .EXE y cualquier otra cosa.
Los investigadores de Trend Micro creen que los cibercriminales aún están estudiando el desarrollo y las oportunidades de este tipo de malware, pero sospechan que puede usarse como una técnica de evasión para otros intentos de ataque con el fin de eludir medidas de seguridad incorporadas, como las comprobaciones de certificados digitales, en este caso las de un binario no compatible con macOS por el diseño del sistema.
Vía | ARS Technica
Ver 8 comentarios