اكتشاف تطبيق من تطبيقات ويندوز Windows App يعمل على اجهزة الماك Mac ويقوم بتثبيت برمجيات خبيثة Malware


على الرغم من وجود امتداد EXE ، وهو التنسيق الرسمي  للملفات التنفيذية لنظام تشغيل ويندوز Windows ، يمكن تشغيل التطبيق على نظام ماك او اوس  macOS وتجاوز آليات الحماية المضمنة في النظام الأساسي ، مثل تطبيق كيت كيبر  Gatekeeper ، لتوصيل حمولة برمجية حبيثة .

هذا ممكن لأن كيت كيبر يتحقق فقط من ملفات الماك الأصلية ولن يتحقق من ملفات بأمتدادEXE ، مما يؤدي إلى تجاوز التحقق من توقيع الشفرة البرمجية code signature وتأكديها.

وقد لوحظ التهديد بالفعل حيث وجدت أنظمة مصابة في المملكة المتحدة وأستراليا وأرمينيا ولوكسمبورغ وجنوب أفريقيا والولايات المتحدة.

يتم توزيع الملفات التنفيذية للنظام الويندوز التي يتم تجميعها باستخدام دوت نيت  .NET داخل أرشيفات بأمتداد ZIP التي تدعي أنها تطبيقات ماك. تحتوي الارشيفات على ملف بأمتداد  .DMG الذي يستضيف برنامج التثبيت (installer) لبرنامج الجدار الناري لتل سنتش  Little Snitch ، لكن ملف EXE موجود أيضًا في داخل برنامج التثبيت ، كما حذرت شركة تريند مايكرو Trend Micro .

عند تنفيذ برنامج التثبيت يقوم بتشغيل ملف EXE ، وهي عملية يتم تمكينها بواسطة إطار مونو Mono (مونو هو منصة برمجية مفتوحة المصدر مصممة لتمكن المطورين من بناء تطبيقات برمجية متعددة المنصات بسهولة) والمضمّن في الحزمة مما يسمح بتنفيذ تطبيقات مايكروسوفت دوت نت  Microsoft .NET  عبر المنصات .

وعند تنفيذ ملف EXE  سيقوم بتجميع معلومات النظام مثل اسم الموديل ومعرفه وسرعة المعالج وتفاصيله وعدد المعالجات وعدد النوى cores والذاكرة ونسخة إصدار ذاكرة القراءة الاقلاعية  boot ROM ونسخة إصدار اس ام سي SMC   والرقم التسلسلي  و المعرف الفريد عالميًا يو يو اي دي  UUID .

يقوم ملف الويندوز أيضًا بمسح التطبيقات الأساسية والمثبتة ويرسل كل المعلومات إلى خادم الأوامر والتحكم Command and Control Server .

تقوم البرمجية الخبيثة أيضًا بتنزيل سلسلة من الملفات من الإنترنت وتنفيذها بمجرد أن تكون جاهزة ، مع عرض تطبيق غير مرغوب فيه أثناء التنفيذ.

وفقًا لباحثين من تريند مايكرو ، تم تصميم البرمجية الخبيثة خصيصًا لتشغيلها على نظام ماك التشغيلي فقط. عند محاولة تشغيل العينة في بيئة ويندوز ، يتم عرض إشعار خطأ بدلاً من ذلك.

يحذر الباحثون من أن تشغيل الملفات التنفيذية ذات أمتداد EXE على أنظمة غير انظمة الويندوز قد يكون له تأثير أكبر. عادةً ما يتطلب استخدام مونو لتحميل مثل هذه الملفات ، لكن المهاجمين يسيئون استخدام هذا الإطار كحل بديل لتجاوز حماية النظام.

“يقول الباحثون من تريند مايكرو:” نشك في أن هذه البرمجيات الخبيثة تحديداً يمكن استخدامها كأسلوب تهرب لمحاولات هجوم أو اصابة اخرى لتجاوز بعض الضمانات الامنية المضمنة مثل فحوصات الشهادات الرقمية ، حيث أنها وحسب تصميمها ملفات ثنائية غير قابلة للتنفيذ في أنظمة ماك “. واضافو مستنتجين : ” نعتقد أن المجرمين الإلكترونيين لا يزالون يدرسون التطوير و الفرص من هذه البرمجية الخبيثة المجمعة في التطبيقات والمتاحة في مواقع التورينت torrent ، وبالتالي سنواصل التحقيق في كيفية استخدام المجرمين الإلكترونيين لهذه المعلومات والروتين المتبع”.

 

 

المصدر:

https://www.securityweek.com/windows-app-caught-running-mac-installing-malware

 

 

ان كان لديكم اي استفسار او سؤال الرجاء مراسلتنا عبر التعليقات في اسفل الشاشة

للتعليقات

هذا الموقع يستخدم Akismet للحدّ من التعليقات المزعجة والغير مرغوبة. تعرّف على كيفية معالجة بيانات تعليقك.

CyberArabs عضو في:

للتبليغ

سجل في نشرتنا الشهرية

%d مدونون معجبون بهذه: