发现针对macOS计算机的exe恶意软件

反病毒公司Trend Micro的安全研究人员发现了一种黑客在野外使用的新方法，通过部署通常仅在Windows计算机上运行的恶意EXE文件，绕过苹果的macOS安全保护，感染Mac计算机。

研究人员在torrent网站上发现了几个伪装成流行软件安装程序的恶意macOS应用程序（.dmg）样本，其中包括一个使用Mono framework编译的EXE应用程序，以使其与macOS兼容。

Mono是微软的开源实现。NET框架，允许开发人员创建跨平台。NET应用程序，可在所有受支持的平台上运行，包括Linux、Windows和Mac OS X。

通常，在macOS系统上运行任何Windows可执行文件都会导致错误，其内置的保护机制（如Gatekeeper）也会跳过扫描。任何恶意代码的exe文件。

趋势科技（Trend Micro）在周一发布的一篇博客文章中表示：“由于该软件不检查EXE，因此该例行程序避开了Gatekeeper，绕过了代码签名检查和验证，因为该技术只检查原生Mac文件。”。

研究人员分析的假安装程序承诺安装防火墙防火墙应用程序，但也与mono编译的隐藏负载捆绑在一起，旨在收集目标Mac计算机的系统信息，并将其发送到由攻击者控制的远程命令和控制服务器。
安装后，exe恶意软件还会下载并提示用户安装各种广告软件应用，其中一些应用伪装成Adobe Flash Media Player和Little Snitch的合法版本。

在分析过程中，研究人员发现“没有特定的攻击模式”与恶意软件有关，但他们的遥测数据显示，在英国、澳大利亚、亚美尼亚、卢森堡、南非和美国，感染率最高。

有趣的是，安全研究人员无法在Windows—；试图在Windows上运行该文件导致错误，这意味着该恶意软件是专门针对macOS用户设计的。

研究人员解释说：“目前，在其他平台上运行EXE可能会对MacOS等非Windows系统产生更大的影响。通常，系统中安装的mono框架需要编译或加载可执行文件和库。”。

“然而，在这种情况下，将文件与所述框架捆绑成一种绕过系统的解决方法，因为EXE不是MacOS安全特性认可的二进制可执行文件。至于Windows和MacOS之间的本机库差异，mono框架支持DLL映射，以支持仅Windows对其MacO的依赖性中国的同行。"

防止自己成为此类恶意软件的受害者的最佳方法是避免从torrent网站或任何不受信任的来源下载应用程序、工具和计算机上的其他文件。