Hackers bedenken manier om Windows-malware op macOS te plaatsen

Ontwikkelaars van malware zoeken nieuwe manieren om Mac-gebruikers te infecteren met .exe-bestanden. Die werken normaliter alleen op Windows-apparaten, maar hackers proberen volgens veiligheidsonderzoekers van Trend Micro manieren te vinden om daar verandering in te brengen.

De onderzoekers van Trend Micro bekeken een app op een torrent-site die Little Snitch zou installeren. Dat is een firewall-app voor macOS. Maar in het DMG-bestand bevond zich ook een .exe-bestand met een verborgen inhoud. De onderzoekers denken dat de hackers op die manier Gatekeeper willen omzeilen. Dat is een veiligheidsfunctie van macOS die van apps eist dat ze getekend zijn voordat het OS ze installeert. Exe-bestanden vallen daar niet onder, omdat Gatekeeper enkel native macOS-bestanden bekijkt.

Beveiliging omzeilen

De onderzoekers van Trend Micro vermoeden dan ook dat de ontwikkelaars van de malware proberen om op deze manier de beveiliging van macOS te omzeilen. Dat denken ze omdat .exe-bestanden net werken op Mac-apparaten. “We denken dat cybercriminelen nog altijd bekijken wat voor kansen er zijn voor deze malware, als ze die meeleveren met apps en beschikbaar maken op torrent-sites. We blijven dus onderzoeken hoe cybercriminelen deze informatie kunnen gebruiken.”

Een .exe-bestand werkt standaard niet op een mac-apparaat. De installer die de onderzoekers van Trend Micro vonden, werkt daar omheen door het .exe-bestand te bundelen met het Mono-framework. Dat stelt Windows-apps ertoe in staat om te draaien op macOS, Android en andere besturingssystemen. Ook waren de DLL-mapping en andere ondersteuning ingebouwd die nodig waren om de malware af te leveren. Opvallend genoeg, konden de onderzoekers het .exe-bestand niet laten draaien op Windows.

De Little Snitch installer verzamelde flink wat informatie. Zo werden de unieke ID, het modelnummer en de apps die op een apparaat staan in kaart gebracht. Daarnaast downloadde en installeerde de malware diverse adware-apps. Sommigen daarvan waren vermomd als legitieme versies van Little Snitch en Adobe’s Flash Media Player.