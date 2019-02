Utvecklare av skadlig kod försöker hitta ett nytt sätt att infektera Mac-användares datorer genom att köra exekverbara filer som normalt bara går att köra på Windowsdatorer.

Det här upptäckte it-säkerhetsföretaget Trend Micro, vars forskare hittade en applikation på en torrent-sajt. Applikationen ser ut att vara ett installationsprogram för Mac OS X, alltså en dmg-fil, som installerar den privata brandväggen Little Snitch.

När forskarna analyserade dmg-filen visade den sig innehålla en exe-fil som levererar en dold nyttolast. Forskarna misstänker att upplägget är till för att försöka ta sig runt det inbyggda skyddet Gatekeeper, som ska förhindra installation av applikationer som inte är signerade med giltiga certifikat. Exe-filer verifieras inte av Gatekeeper eftersom systemet bara verifierar inhemska filer.

Per definition kan exe-filer inte köras på Mac, men den försåtliga versionen av installationsfilen för Little Snitch kringgick denna begränsning genom att paketera exe-filen tillsammans med det fria ramverket Mono.

Med Mono kan Windowsfiler köras på OS X, såväl som på Android och en uppsjö andra plattformar. Med i paketet fanns också dll-filer och andra stöd för exe-filen så den kunde köras och installera den dolda nyttolasten. Intressant nog kunde forskarna inte köra exe-filen på Windows, skriver Ars Technica.

Normalt krävs det ett installerat Mono-ramverk för att kompilera eller ladda in binärer och kodbibliotek. Men i det fall forskarna upptäckte fungerar Mono-paketeringen som en kringmanöver eftersom just exe-filer inte hanteras av de inbyggda säkerhetsrutinerna på OS X; säkerhetsrutinerna bryr sig helt enkelt inte om exe-filer eftersom de under normala omständigheter inte kan köras.

När det gäller olikheterna i kodbiblioteken mellan Windows och OS X har Mono-ramverket förmågan att mappa beroenden i Windows-system till deras motsvarigheter i Mac-världen.

När forskarna testkörde fulvarianten av Little Snitch-installationen upptäckte de att nyttolasten samlar in ett berg av information från den infekterade datorn. Dessutom passade den på att ladda ned och installera falska verioner av Little Snitch och Adobes Flash Media Player.

