Un ejecutable Windows supera el Gatekeeper e instala malware en computadoras Mac

Investigadores de seguridad de la firma Trend Micro han descubierto un método novedoso para instalar malware en computadoras Mac mediante un ejecutable Windows camuflado que logra superar el sistema de seguridad integrado por Apple, Gatekeeper.

Hoy mismo repasábamos los instaladores de Windows cuando hablábamos del nuevo formato de empaquetado, MSIX. Uno de esos instaladores, EXE, es el protagonista de la alerta de Trend Micro sobre un nuevo malware en computadoras Mac.

Los investigadores encontraron varias muestras de aplicaciones populares macOS ( formato .dmg) en la red torrent, que incluían en su interior un ejecutable EXE malicioso compilado con el framework Mono para hacerlo compatible con macOS. Mono es una implementación de código abierto del .NET Framework de Microsoft que permite a los desarrolladores crear aplicaciones .NET multiplataforma, que funcionan en todas las compatibles, incluyendo Linux, Windows y Mac OS X.

Por lo general, ejecutar un ejecutable Windows en Mac o Linux produce un error de ejecución sin mayores consecuencias. Sin embargo, al servirse camuflado en un formato nativo del sistema de Apple se consigue introducirlo en el sistema. Como el sistema de seguridad integrado, Gatekeeper, solo verifica los archivos nativos de Mac, el ejecutable EXE elude la verificación y verificación de la firma del código instalando malware en computadoras Mac. 

El instalador falso analizado por los investigadores de Trend Micro «prometía» instalar la aplicación de firewall, Little Snitch. En su interior, se incluye la carga oculta como EXE malicioso diseñado para recopilar y enviar información del sistema sobre la computadora Mac a un servidor remoto de comando y control controlado por los atacantes. 

Una vez instalado, el malware exe también descarga y solicita a los usuarios que instalen varias aplicaciones de adware, algunas de las cuales se disfrazan de versiones legítimas de Adobe Flash o Media Player. Los investigadores no encontraron «ningún patrón de ataque específico» asociado con el malware, pero su telemetría mostró un buen número de infecciones en países como Reino Unido, Australia, Armenia, Luxemburgo, Sudáfrica y Estados Unidos.

Curiosamente, los investigadores de seguridad no pudieron obtener el mismo archivo EXE malintencionado para ejecutarse en Windows. Y es lógico. Al intentar ejecutar el archivo en Windows se produce un error típico de ejecución, lo que significa que este malware ha sido diseñado específicamente para introducir malware en computadoras Mac.

Un método ingenioso al que -de momento- solo se le puede dar respuesta con la mejor solución de seguridad disponible, la prudencia del usuario para no ser víctima de este tipo de malware, evitando la descarga de aplicaciones, herramientas y otros archivos en sus computadoras desde sitios web, redes de intercambio o cualquier fuente no confiable.