EXE: Mono-kode for kryssplattform-utvikling integrert. (Foto: Mono Project)

EXE-fil kan skade macOS

Sagt på en annen måte: Ikke last ned tvilsom programvare fra torrent-servere.

Publisert Sist oppdatert

Trend Micro har oppdaget at farlig kode kan snike seg inn bakveien via Mono.

Nyttelasten kommer som en EXE-fil som strengt tatt er utviklet for Windows-plattformen, men som kan kjøres på macOS via Mono.

Mono Project

Mono-prosjektet, sponset av Microsoft, er en åpen kildekode-implementering av .NET-rammeverket for CLR og C# slik at utviklere kan bruke disse språkene – som tradisjonelt benyttes for utvikling mot Windows – til å utvikle kryssplattform-løsninger som også kan eksekvere kode på macOS. 

Fint når dette er nytteprogrammer, men verre når det er farlig kode. Slik som i dette tilfellet. Datasikkerhetsselskapet Trend Micro har oppdaget at EXE-filer samt Mono-ressurser er lagt til DMG-installasjonspakker for macOS for det som for brukeren fortoner seg som ulovlige nedlastinger av kjente apper via en torrent-transaksjon.

Det overraskende er at skadekoden skal ha passert under radaren for Gatekeeper, en innebygget sikkerhetsmekanisme i macOS. Vi forventer at Apple raskt patcher denne, og at oppdateringen dyttes ut uten bruker-medvirkning. Men vi anbefaler alle ta sine forhåndsregler, uansett.

Påvist hittil er denne skadelige nyttelasten i DMG-filer for:

  • Paragon_NTFS_for_Mac_OS_Sierra_Fully_Activated.zip

  • Wondershare_Filmora_924_Patched_Mac_OSX_X.zip

  • LennarDigital_Sylenth1_VSTi_AU_v3_203_MAC_OSX.zip

  • Sylenth1_v331_Purple_Skin__Sound_Radix_32Lives_v109.zip

  • TORRENTINSTANT.COM+-+Traktor_Pro_2_for_MAC_v321.zip

  • Little_Snitch_583_MAC_OS_X.zip

Denne typen filer kan mutere raskt og uventet, så det er ingen grunn til å slå seg til ro med utvalget som presenteres via Trend Micros nettsider.

Skadevaren skanner ulike mapper og filer på harddisken på en Mac, installerer uønsket programvare slik som en Flash-spiller, og sender informasjon til en C&C-server.

Du kan lese flere detaljer om malware-filene hos Trend Micro her.