Un file Windows EXE corrotto può infettare anche il tuo Mac

Si pensa comunemente che Mac e Windows siano due universi separati, che ciò che affligge l’uno, non può intaccare l’altro. Non sarebbe così, non sempre, almeno non secondo quanto scoperto da alcuni ricercatori. Questi avrebbero, infatti, scoperto un nuovo modo usato dagli hacker per bypassare le misure di sicurezza dei sistemi operativi Mac: usare un file corrotto che normalmente potrebbe essere aperto soltanto con Windows.

La scoperta

La scoperta di questo particolare nuovo trucco è avvenuta quasi per caso. I ricercatori hanno trovato diversi esempi di applicazioni macOS infette (.dmg) che si facevano passare per installazioni di software popolari su un sito torrent che include un applicazione EXE compilata con framework Mono, così che possa essere compatibile coi sistemi operativi Mac.

Mono è una implementazione open source del framework .NET di Microsoft, permette agli sviluppatori di creare applicazioni cross-platform .NET: queste particolari applicazioni permettono ai file di essere supportati su tutti gli altri sistemi, inclusi Linux, Windows e Mac OS X. Di solito, quando si prova ad aprire un file Windows su sistemi operativi Mac, non fa altro che dare errore e i meccanismi stessi di protezione del sistema funzionano praticamente da buttafuori, controllando il file alla ricerca di un codice infetto. Usare Mono, invece, permette agli hacker di ovviare a questo dettaglio, raggiungendo dunque Mac.

File Windows infetto può intaccare anche Mac: come funziona?

Stando a quanto affermato dai ricercatori, questo particolare trucco riesce a ovviare ai meccanismi di sicurezza di macOS, in quanto il file EXE non viene controllato dal software Gatekeeper, il che gli permette di bypassare la verifica della firma del codice, in quanto si tratta di un tipo di tecnologia presente soltanto nei file Mac.

Questo falso installatore inserisce un’applicazione firewall del tipo Little Snitch, ovvero un tipo di firewall che controlla l’accesso di ogni applicazione o sistema. Essenzialmente è fatto per proteggere la privacy del sistema limitandone il traffico dall’esterno, ma non per proteggerlo in caso di attacchi. Little Snitch si presenta nascosto in un gruppo compatto, fatto per raccogliere informazioni sul sistema operativo Mac da attaccare e inviarle a un server comandato in remoto dagli hacker.

Una volta che è stato installato, il malware EXE scarica altre app con adware, e spinge l’utente a utilizzarle. Alcune di queste addirittura sembrano originali, presentando il marchio Adobe Flash Media Player e Little Snitch.

Malware EXE da Windows a Mac: alcune riflessioni

Nel corso delle loro ricerche, i ricercatori non sono riusciti a trovare un pattern specifico da associare al malware, tuttavia sono riusciti a restringere il campo alle aree geografiche in cui questo particolare trucco viene utilizzato: in particolare è risultato che i paesi più colpiti sono Regno Unito, Australia, Armenia, Lussemburgo, Sud Africa, e Stati Uniti.

Uno spunto interessante è il fatto che lo stesso file usato per infettare i sistemi operativi Mac, pur essendo fatto per Windows, non riusciva a essere aperto su quest’ultimo. Ogni volta che i ricercatori ci hanno provato, il risultato è sempre stato errore. Questo particolare è indicativo, in quanto significa che il malware è stato creato apposta per colpire i macOS.

“Al momento, aprire il malware EXE su altri sistemi potrebbe avere un maggiore effetto sui sistemi operativi diversi da Windows. Di solito, per compilare il file ed eseguirlo, è necessario un framework Mono,”

hanno spiegato i ricercatori,

“tuttavia, in questo caso, il fatto che i file fossero stati mescolati al framework ha complicato le cose, permettendo al malware EXE di bypassare le misure di sicurezza, in quanto questi non vendono riconosciuti come codici binari che macOS può eseguire.”

Secondo gli specialisti, la ragione per cui il file EXE può essere eseguito su Mac ma non su Windows è da individuarsi nel fatto che il framework usato supporta soltanto il mapping DLL dei sistemi Windows.

L’unica maniera per proteggersi da questa nuova tecnica degli hacker di inserirsi nei nostri sistemi è evitare di scaricare app, tools, e altri file da siti torrent di cui non si conosce la fonte.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

gigatech

GRATIS
VIEW