EXE-зараза для вашего “Мака”

О том, что EXE-файлы могут быть опасны для компьютеров с Windows, знают все. Но, как оказалось, с помощью EXE-файла можно заразить и macOS.

О том, что неуязвимость macOS — это миф, мы вам уже рассказывали, и не один раз. Недавно злоумышленники нашли очередной способ обмануть бдительность встроенного защитного механизма: преступники собирали данные о зараженной системе и загружали в нее рекламные приложения с помощью файлов с расширением EXE, которое обычно используется в Windows. Кто бы мог подумать, что EXE-файл может быть опасен для «Мака» — однако этот способ заражения действительно работает.

Хроники заражения: пиратский файрвол с EXE-зловредом в комплекте

Ирония в том, что зловред добавили не куда-нибудь, а в пиратскую копию защитного программного обеспечения — файрвола Little Snitch. Пользователи, решившие сэкономить на оплате лицензии, предсказуемо получили изрядную головную боль.

Зараженная версия брандмауэра распространялась через торренты. Оттуда жертва скачивала на компьютер ZIP-архив с образом диска в формате DMG — пока ничего необычного. А вот если просмотреть содержимое этого DMG-файла, можно обнаружить в нем папку MonoBundle с неким installer.exe. Это уже нетипичный для macOS объект: обычно на «Маке» EXE-файлы просто не работают.

Gatekeeper не спасет

Более того, macOS настолько не поддерживает исполняемые файлы для Windows, что технология Gatekeeper, которая не дает подозрительным программам запускаться в системе, просто игнорирует EXE-файлы. Это вполне объяснимо: перегружать систему проверкой заведомо неработающих файлов никакого резона нет, тем более что Apple уделяет много внимания быстродействию своей техники.

Все было бы хорошо, если бы не одно «но»: программ для Windows много, и иногда они очень нужны обладателям Mac. Поэтому существуют решения, позволяющие запускать «неродные» для платформы файлы. Одно из них — фреймворк Mono, бесплатная система, при помощи которой Windows-приложения могут работать в других ОС, в том числе в macOS.

Как вы уже, вероятно, догадались, именно им воспользовались злоумышленники. Обычно фреймворк нужно устанавливать на компьютер отдельно, но преступники придумали выход, объединив его в один пакет со зловредом (помните, злополучный «экзешник» находился в папке MonoBundle?). В результате даже на тех «Маках», владельцы которых обходятся «родными» программами, зловред успешно запускается.

Хроники заражения: шпионаж и реклама

В первую очередь вредоносная программа собирает информацию о зараженной системе. Киберпреступников интересует название модели, идентификаторы устройства, технические характеристики процессора, объем оперативной памяти и многое другое. Также зловред собирает и отправляет на свой командный сервер сведения об установленных приложениях.

Одновременно он загружает на зараженный компьютер еще несколько образов с установщиками, замаскированными под Adobe Flash Media Player или Little Snitch. На самом же деле это самые заурядные рекламные утилиты, которые будут донимать вас навязчивыми баннерами.

Как защититься

Мораль у этой истории проста: в мире информационных технологий полностью безопасных систем не бывает. А встроенным средствам защиты слепо доверять нельзя, даже если они считаются очень надежными. Вот несколько советов, как защитить свой компьютер от хитроумных зловредов.

  • Не устанавливайте пиратские версии приложений. Если вам необходима какая-либо программа, а платить категорически не хочется, поищите изначально бесплатный аналог.
  • Загружайте программы из официальных источников — магазина AppStore или с сайтов разработчиков.
  • Если вы все-таки решили загрузить приложение из неофициального источника, например с тех же торрент-трекеров — обязательно проверяйте, что именно вы скачали. С подозрением относитесь к любым посторонним файлам в установочном пакете.
  • Используйте надежный антивирус, который проверяет все подозрительные файлы без исключений.
Советы

Как отключить слежку в iOS?

У вас есть iPhone, iPad или iPod? Потратьте несколько минут на настройку служб геолокации, чтобы сэкономить заряд батареи и сохранить конфиденциальность перемещений.