一个可以在Mac电脑上运行并下载信息窃取和广告软件的Windows应用程序 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

一个可以在Mac电脑上运行并下载信息窃取和广告软件的Windows应用程序

申博_新闻事件 申博 181次浏览 已收录 0个评论

EXE是用于Windows的官方可实行文件花样,仅在Windows平台上运转。默许情况下,试图在Mac或Linux操作体系上运转EXE文件都是不可行的。

但是近日,trendmicro在野外发明了一种EXE文件,其歹意payload能够或许绕过Mac的内置珍爱机制(好比Gatekeeper),原因是Gatekeeper仅搜检本机Mac文件而不会搜检EXE文件,因而该EXE文件能随意马虎绕过编码署名搜检和考证的步调。以后并没有视察到达详细的进击形式,但我们的遥测数据显现,在英国、澳大利亚、亚美尼亚、卢森堡、南非和美国等国度,沾染已经有舒展开的趋向。

显示

我们搜检的样本是Mac和Windows上盛行的防火墙应用顺序Little Snitch的装置顺序,能够从种种torrent网站上下载。.NET编译的Windows可实行文件的称号以下:

· Paragon_NTFS_for_Mac_OS_Sierra_Fully_Activated.zip

· Wondershare_Filmora_924_Patched_Mac_OSX_X.zip

· LennarDigital_Sylenth1_VSTi_AU_v3_203_MAC_OSX.zip

· Sylenth1_v331_Purple_Skin__Sound_Radix_32Lives_v109.zip

· TORRENTINSTANT.COM+ – + Traktor_Pro_2_for_MAC_v321.zip

· Little_Snitch_583_MAC_OS_X.zip

解压缩下载的.ZIP文件时,发明它包罗一个托管Little Snitch装置顺序的.DMG文件。

一个可以在Mac电脑上运行并下载信息窃取和广告软件的Windows应用程序

图1.从解压的Windows可实行文件中发明的文件示例

一个可以在Mac电脑上运行并下载信息窃取和广告软件的Windows应用程序

图2.对.DMG样本剖析后,发明个中包罗Little Snitch的装置顺序

搜检装置顺序内容后,我们发明该应用顺序中绑缚的.EXE文件存在非常,该文件后被考证为卖力歹意payload的Windows可实行文件。

一个可以在Mac电脑上运行并下载信息窃取和广告软件的Windows应用程序

图3.该Mac应用顺序中绑定的可疑的.EXE文件

当装置顺序实行时,主文件也会启动可实行文件,由于它是由包中包罗的mono框架启用的,该框架许可跨平台(如OSX)实行Microsoft . net应用顺序。

运转后,该歹意软件会收集以下的体系信息:

· ModelName

· ModelIdentifier

· ProcessorSpeed

· ProcessorDetails

· NumberofProcessors

· NumberofCores

· Memory

· BootROMVersion

· SMCVersion

· SerialNumber

· UUID

在/Application目次下,该歹意软件还扫描一切基本和已装置的应用顺序,并将一切信息发送到C&C服务器:

· App Store.app

· Automator.app

· Calculator.app

· Calendar.app

· Chess.app

· Contacts.app

· DVD Player.app

· Dashboard.app

————————————-

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

· FaceTime.app

· Font Book.app

· Image Capture.app

· iTunes.app

· Launchpad.app

· Mail.app

· Maps.app

· Messages.app

· Mission Control.app

· Notes.app

· Photo Booth.app

· Photos.app

· Preview.app

· QuickTime Player.app

· Reminders.app

· Safari.app

· Siri.app

· Stickies.app

· System Preferences.app

· TextEdit.app

· Time Machine.app

· UtilitiesiBooks.app

接着,它能从互联网上下载以下文件并生存到目次~/Library/X2441139MAC/Temp/:

· hxxp: / /install.osxappdownload.com/download/mcwnet

· hxxp: / /reiteration-a.akamaihd.net/INSREZBHAZUIKGLAASDZFAHUYDWNBYTRWMFSOGZQNJYCAP/FlashPlayer.dmg

· hxxp:/ /cdn.macapproduct.com/installer/macsearch.dmg

一个可以在Mac电脑上运行并下载信息窃取和广告软件的Windows应用程序

图4.目次中的生存已下载文件。

这些.DMG文件会在准备就绪后马上装置和实行,并在实行时期显现PUA。

一个可以在Mac电脑上运行并下载信息窃取和广告软件的Windows应用程序

图5.一个告白软件正假装成一个罕见的应用顺序举行下载

一个可以在Mac电脑上运行并下载信息窃取和广告软件的Windows应用程序

图6.运转文件时显现的一个PUA

此歹意软件特地针对Mac用户,当在Windows中运转时会显现毛病正告。

一个可以在Mac电脑上运行并下载信息窃取和广告软件的Windows应用程序

图7.在Windows中实行此装置顺序时发出的毛病正告

现在,在其他非windows体系(如MacOS)上运转EXE一般需要在体系中装置mono框架来编译或加载可实行文件和库。但是,在此类情况下,进击者利用了EXE不是MacOS平安功用可辨认的二进制可实行文件这一特征,将文件与mono框架绑定,继而绕过了检测体系。至于Windows和MacOS之间的本机库差别,mono框架能支撑DLL映照,进而支撑从Windows到MacOS的对应干系。

结论

我们假设恶意软件可以作为一种绕过技术的方法,绕过一些内置的安全措施,用于其他攻击或污染,以及绕过数字身份验证搜索。至少在未来,MacOS安全功能将无法识别EXE这个特性不变,我们认为罪犯还在恶意软件的收集与应用程序和洪流网站发展机遇,我们将继续观察罪犯使用信息的收集和秩序。用户应避免或避免从未经验证的来源和网站下载文件、序列和软件,并应安装多层机制,以珍惜自己的个人和企业系统。

本文翻译自:https://blog.trendmicro.com/trendlabs-security-intelligence/windows-app-runs-on-mac-downloads-info-stealer-and-adware/如若转载,请说明原文地点: http://www.4hou.com/web/16136.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明一个可以在Mac电脑上运行并下载信息窃取和广告软件的Windows应用程序
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址