Uma infecção EXE para seu Mac?

18 abr 2019

A ideia que o macOS é invulnerável é um mito, e já falamos isso diversas vezes. Recentemente, cibercriminosos descobriram outra forma de passar pelos mecanismos de defesa integrados. Coletam dados sobre sistemas infectados e transmitem adware por meio de arquivos EXE com extensões, que normalmente rodam apenas no Windows. Um arquivo EXE infectando usuários Mac? Estranho, mas o método funciona.

Firewall pirateado que inclui um malware EXE

A ironia é que o malware foi adicionado a uma cópia pirata de um produto de segurança – o firewall Little Snitch. Usuários que tentaram economizar na licença acabaram com uma dor de cabeça de brinde.

A versão infectada do firewall foi distribuída por meio de torrents. Vítimas baixaram um arquivo ZIP com um documento de imagem no formato DMG – até aí, tudo bem. Mas uma olhada mais atenta aos conteúdos do DMG revela a presença da pasta MonoBundle com o installer.exe dentro. Isso não é um objeto típico do macOS; pois EXE normalmente não funcionam em máquinas Mac.

Gatekeeper ignora a situação

Na verdade, os arquivos executáveis do Windows são tão incompatíveis com o GateKeeper do macOS (uma função do macOS que previne programas suspeitos de serem executados) que ele simplesmente ignora arquivos EXE. Isso é bastante compreensível: faz pouco sentido sobrecarregar o sistema verificando arquivos obviamente inativos.

Até aí tudo bem, se não fosse por um porém: muitos programas são desenvolvidos especificamente para Windows, mas às vezes, os usuários Mac precisam de algum deles, então várias soluções existem para executá-los que não são nativas a plataforma. Um deles é a estrutura Mono, um sistema livre que permite o funcionamento das aplicações Windows em outros sistemas operacionais, incluindo o macOS.

Como você pode imaginar, a estrutura é a que os cibercriminosos exploraram. Ela, normalmente, precisa ser instalada no computador de forma separada, mas esses golpistas investiram no método de incluí-lo com o malware (lembre-se que o EXE sinistro está na pasta do MonoBundle?) Como resultado, o malware é executado com êxito nos equipamentos Macs nos quais os usuários usam apenas programas nativos.

A história de uma infecção: spyware e adware

Depois da instalação, o malware primeiro coleta informações sobre o sistema infectado. Cibercriminosos estão focados no nome do modelo, credenciais dos usuários dos dispositivos, especificações de processamento, RAM e outras coisas. O malware também colhe e envia informações sobre aplicativos instalados no servidor de Comando e Controle.

Simultaneamente, baixa diversas outras imagens para o computador infectado com instaladores mascarado como o Adobe Flash Media Player, ou o Little Snitch. Estão no fim executando ferramentas de adware que o enchem de banners.

Como se proteger?

A moral da história é simples: em um mundo de tecnologias da informação, nenhum sistema está completamente seguro. Proteções integradas não são totalmente confiáveis, mesmo se são consideradas confiáveis. Algumas dicas em como se proteger seu computador contra malwares espertos:

  • Não instale versões piratas de aplicativos. Se você realmente precisa de um programa, e não quer pagar por ele, procure uma alternativa gratuita.
  • Sempre baixe programas de fontes oficiais: a App Store ou sites de desenvolvedores.
  • Se você optar por baixar um aplicativo de uma fonte não oficial, por exemplo, um torrent como mencionado antes, tenha certeza de verificar o que você baixou. Tenha suspeitas quanto arquivos “extras” instalados no pacote.
  • Use um antivírus confiável que verifique todos os arquivos suspeitos.