一個能夠感染Mac機的EXE檔案

時至今日仍然有不少人無視事實,認為 MacOS 不會被惡意程式侵襲,對於這種情況網絡罪犯自然最高興。近日,他們就找到新的手法躲避內置的防禦機制,不但收集受感染系統資料,更植入廣告程式,而且是透過在 Windows 十分常見,但一直以為對 MacOS 無效的 .EXE 檔案。

盜版防火牆「附送」.EXE 惡意程式
最諷刺的地方,是惡意程式被加入到盜版的保安產品 -- Little Snitch Firewall 內,用戶企圖節省那一點費用,最後換來無限的煩惱。受感染的防火牆版本經由 BT 散播,當受害人下載並打開加壓的 ZIP 檔後,就會見到影像檔 DMG 檔案,看起來仍然正常,但是詳細瀏覽 DMG 檔案中的內容就會發現一個 MonoBundle 資料夾,內裡並附有 installer.exe 執行檔,這明顯不是屬於 MacOS 的物件,所以不會在 Mac 裝置上執行。

Gatekeeper 忽略 .EXE 檔案讓人有機可乘
正常情況下,Windows 的執行檔在 MacOS 上並不太支援,甚至連 MacOS 的保安功能 Gatekeeper 也直接無視 .EXE 檔案,這種行為對於 MacOS 而言也不難理解,因為消耗資源去處理正常不會有用的檔案,對於以處理速度為賣點的 Apple 而言也合情合理。

可惜現實中有很多不似預期的情況,用戶想在 Mac 上使用 Windows 程式的情況並不罕見,所以有部份方案能夠讓檔案在非預設的平台上運作,其中一個就是 Mono 架構,一個免費的系統讓用戶在其他操作系統上執行 Windows 應用程式,包括 MacOS。

聰明的你可能已經猜到,其實內附的 Mono 架構同樣已經被罪犯入侵,架構一般情況下需要分開安裝在電腦內,而這個「破解版」就把它與惡意程式結合 (MonoBundle 資料夾內的 .EXE檔案),結果惡意程式就能夠成功在 Mac 上運行。

安裝間諜和廣告程式
完成安裝後,惡意程式首先收集受感染系統的資料,網絡罪犯喜歡留意型號、裝置 ID、處理器規格、RAM 等等不同項目,然後把收集得到的資料傳送到 C&C 伺服器,同時,它還會下載幾個鏡像到受感染的電腦,偽裝成 Adobe Flash Media Player 或 Little Snitch,其實真正身份是廣告程式,以不量廣告橫幅騷擾用戶。

避免中招靠自己
在資訊科技世界內,沒有系統完全安全,即使內置的防護功能相對可靠,用戶也不能完全盲目信任,不妨參考以下建議,進一步減少受侵襲的風險。

  • 不要安裝盜版軟件,如果真的需要使用,而「非常」不想付費,請嘗試找免費的替代品。
  • 永遠從官方渠道下載程式,例如 App Store 或開發商的網站。
  • 如果決定在非官方渠道下載程式,必需確定下載的內容,慎防有額外的檔案夾雜其中。
  • 使用可靠的防毒軟件掃瞄全部可疑檔案