07/04/2019

Infekcja z plikami EXE w tle zagraża komputerom Mac

Zagrożenia

Stwierdzenie, że system macOS jest wszechodporny, to mit, o którym pisaliśmy już wielokrotnie. Niedawno cyberprzestępcy odkryli kolejny sposób na obejście wbudowanych w ten system mechanizmów zabezpieczających. Do instalatorów popularnego oprogramowania dołączali pliki z rozszerzeniem EXE, które działają tylko w systemie Windows, oraz narzędzie umożliwiające korzystanie niego w systemie macOS. Plik z rozszerzeniem EXE zagrażający użytkownikom komputerów Mac? Brzmi niedorzecznie, a jednak to prawda.

Historia infekcji: piracka zapora sieciowa ze szkodliwym programem EXE

Jak na ironię, szkodliwy program znajdował się w pirackiej kopii produktu zabezpieczającego — zapory sieciowej o nazwie Little Snitch. Użytkownicy, którzy chcieli zaoszczędzić na licencji, nabawili się kłopotów.

Zainfekowana wersja zapory sieciowej była dystrybuowana za pośrednictwem torrentów. Ofiary pobierały na swoje komputery archiwum ZIP zawierające obraz dysku w formacie DMG. Jak się okazało, zawierał on folder o nazwie MonoBundle z instalatorem .exe. Rozszerzenie to nie jest typowe dla systemu macOS ­– pliki EXE zwykle nie działają na komputerach Mac.

Strażnik patrzy w drugą stronę

Pliki wykonywalne przeznaczone dla systemu Windows nie są obsługiwane w systemie macOS, więc Gatekeeper — funkcja odpowiedzialna za ochronę systemu macOS, która blokuje uruchamianie podejrzanych programów — zwyczajnie ignoruje te z rozszerzeniem EXE. To całkiem zrozumiałe: nie ma sensu obciążać systemu poprzez skanowanie plików, które nie zadziałają, zwłaszcza że szybkość działania do jeden z filarów sprzedaży produktów marki Apple.

Wszystko byłoby dobrze, gdyby nie jedno „ale”: dla systemu Windows dostępnych jest wiele programów, a czasami zdarza się, że niektóre z nich mogłyby się bardzo przydać użytkownikom komputerów Mac. W związku z tym powstało wiele różnych rozwiązań, dzięki którym można uruchamiać pliki, które nie są natywne dla wspomnianej platformy. Jednym z nich jest platforma programistyczna Mono — darmowy system, który umożliwia użytkownikom uruchamianie aplikacji dla systemu Windows w innych systemach operacyjnych, w tym macOS.

Jak można się domyśleć, to sposób ten wykorzystali cyberprzestępcy. Zwykle framework należy zainstalować na komputerze oddzielnie, jednak oszustom udało się umieścić go w szkodliwym programie (pamiętacie program EXE w folderze MonoBundle?). W efekcie szkodliwy program pomyślnie działa nawet na komputerach Mac, których właściciele używają jedynie natywnych programów.

Historia infekcji: spyware i adware

Po zainstalowaniu w systemie szkodliwy program najpierw gromadzi informacje na jego temat. Cyberprzestępca poszukuje takich informacji jak nazwa modelu, identyfikator, specyfikacja procesora, pamięć RAM i itp. Ponadto szkodliwy program gromadzi i wysyła do swojego serwera kontroli informacje na temat zainstalowanych aplikacji.

Równocześnie pobiera on na zainfekowany komputer kilka innych obrazów z instalatorami ukrytymi pod postacią programów Adobe Flash Media Player lub Little Snitch. W rzeczywistości są one programami adware, które dręczą użytkowników wyświetlaniem banerów.

Jak zadbać o swoje bezpieczeństwo

Morał z tej historii jest prosty: w świece technologii informacji żadne systemy nie są całkowicie bezpieczne. A wbudowanym funkcjom zabezpieczającym nie można ufać, nawet jeśli cieszą się dobrą opinią. Poniżej przedstawiamy kilka porad, jak zabezpieczyć swój komputer przed takimi szkodliwymi programami.

  • Nie instaluj pirackich wersji aplikacji. Jeśli naprawdę potrzebujesz jakiegoś programu i nie możesz za niego zapłacić, poszukaj darmowej alternatywy.
  • Programy pobieraj tylko z oficjalnych źródeł: sklepu App Store lub stron producentów.
  • Jeśli postanowisz pobrać jakąś aplikację z nieoficjalnego zasobu, na przykład strony z torrentami, sprawdź, co zostało pobrane. Z podejrzliwością traktuj wszelkie „dodatkowe” pliki w pakiecie instalacyjnym.