Windows-malware pakt Macs

Macs genieten een reputatie van veiligheid, wat mede voortkomt uit minder interesse van malwaremakers voor Apple's computerbesturingssysteem. Een nieuwe ontwikkeling is het opduiken van Windows-malware die werkt op macOS. Hiervoor bevat een nu ontdekte Trojan-app een uitvoerbaar Windows-bestand samen met het gratis Mono-framework om die .exe te kunnen draaien op Macs. Daarna wordt meer malware binnengehaald.

Jasper BakkerredacteurMeer van deze auteur

Apple iMacs (groot en klein) — © Apple

Apple

Deze innovatie op cybercrimegebied is ontdekt door securityleverancier Trend Micro. Onderzoekers van dat bedrijf hebben een Mac-app aangetroffen op diverse torrentsites, waarbij het een Trojan bleek te zijn die dus verborgen code mee naar binnen bracht. macOS heeft weliswaar ingebouwde security om uitvoerbare bestanden te controleren op digitale handtekeningen en daarmee op validiteit. Die basale beveiligingsfunctionaliteit van Apple's GateKeeper checkt echter alleen macOS-bestanden.

Kant-en-klare code-bundel

De Trojan-download die zich voordoet als de populaire Mac-firewall Little Snitch heeft daarom dan ook een Windows-exe aan boord. In combinatie met het Mono-framework valt dat uit te voeren op macOS, waarbij dan Apple's controle wordt vermeden. Trend Micro meldt dat het deze .exe-bestanden 'in the wild' heeft aangetroffen, waarbij die onder verschillende bestandsnamen via torrentsites worden aangeboden.

Dit zijn dan gecomprimeerde bestanden (.zip) die na uitpakken een Mac-diskbestand (.dmg) opleveren waarin dan de installer voor de Trojan zit. De zip-bestanden hebben diverse namen van bekende Mac-apps, zoals Paragon NTFS for macOS, Wondershare Filmora, LennarDigital Sylenth1, en het al genoemde Little Snitch. Inspectie van de download heeft geleid tot de ontdekking van een submap waarin een Windows-exe staat compleet met het Mono-framework.

Adobe Flash

Het starten van de Mac-installer zorgt ook voor lancering van het framework en daarlangs uitvoering van de meeliftende Windows-exe. Zodra de .exe actief is op macOS verzamelt het informatie over de Mac waarop het draait, waaronder geïnstalleerde apps. Deze data wordt doorgegeven aan een command&control-server van de malwareverspreiders. Ook downloadt de malware dan meer malafide code, die het verbergt in een temp-map van macOS. Dit zijn dan .dmg-bestanden die zich bijvoorbeeld voordoen als installer voor Adobe's Flash Player.

Opvallend genoeg blijkt de ontdekte malware niet te werken op Windows: Trend Micro's poging hiertoe levert een foutmelding op. "We denken dat de cybercriminelen [achter deze Mac-Trojan - red.] nog bezig zijn met het besturderen van de ontwikkeling en kansen van deze malware gebundeld in apps die beschikbaar wordt gemaakt op torrentsites", aldus de security-onderzoekers in hun blogpost. Momenteel zijn er de meeste infecties in Groot-Brittannië, Luxemburg, Zuid-Afrika, Armenië, Australië en de Verenigde Staten.