Windows应用程序可在Mac系统运行并安装恶意软件

趋势科技的研究人员观察到Windows应用程序具备在Mac上运行以及在目标系统上下载和安装恶意软件的能力。

尽管EXE扩展是Windows的官方可执行文件格式，但该应用程序可以在macOS上运行并覆盖平台的内置保护机制，例如Gatekeeper，以提供恶意负载。

这种情况是可能实现的，因为Gatekeeper仅验证本机Mac文件，并不会检查EXE扩展，所以你能绕过代码签名检查和验证。研究者已经观察到威胁影响英国，澳大利亚，亚美尼亚，卢森堡，南非和美国的系统。

使用.NET编译的Windows可执行文件分布在声称是Mac应用程序的ZIP存档中。趋势科技警告，这些档案确实包含托管Little Snitch安装程序的.DMG文件，但安装程序中也捆绑了一个EXE文件。

执行时，安装程序将启动EXE文件，该文件由捆绑包中包含的Mono框架启用（允许跨平台执行Microsoft .NET应用程序）。EXE文件收集系统信息，例如型号名称和标识符，处理器速度和详细信息，处理器数量，内核数量，内存，引导ROM版本，SMC版本，序列号和UUID。

Windows文件还会扫描基本和已安装的应用程序，并将所有信息发送到命令和控制（C＆C）服务器。

恶意程序还从网上下载一系列文件，并在它们准备就绪后立即执行，同时还在执行期间显示可能不需要的应用程序。

根据趋势科技的安全研究人员的说法，该恶意软件专门设计为仅在macOS上运行。尝试在Windows环境中运行示例时，会显示错误通知。

研究人员警告，在非Windows系统上运行EXE文件可能会产生更大的影响。Mono通常需要加载这些文件，但攻击者滥用框架作为绕过系统保护的解决方法。

研究者怀疑这种特定的恶意软件可以被用作其他攻击或感染尝试的逃避技术，以绕过一些内置的安全措施，例如数字认证检查，因为它是Mac系统中不受支持的二进制可执行文件。网络犯罪分子仍在研究这种捆绑在应用程序和torrent网站上的恶意软件的发展和机会，因此趋势科技将继续调查网络犯罪分子如何使用这些信息和程序。