Phần mềm bảo mật XProtect của Apple mới đây đã được âm thầm cập nhật để bổ sung thêm một số chữ ký (signature) giúp phát hiện các tệp Windows PE cũng như các tệp thực thi Windows có thể chạy trên máy Mac bằng cách sử dụng Mono .NET framework.
Nếu bạn chưa biết thì XProtect là phần mềm chống virus được tích hợp sẵn của Apple nhằm đóng vai trò như một lá chắn bảo vệ thời gian thực trên máy Mac. Để bảo vệ người dùng khỏi virus và mã độc, XProtect sử dụng các chữ ký được xây dựng từ nhiều quy tắc Yara nhắm vào những mối đe dọa bảo mật đã biết đối với người dùng Mac.
Theo chuyên gia bảo mật Patrick Wardle, 2 chữ ký mới phát hành vào ngày 19 tháng 4 năm 2019 vừa qua khi được sử dụng cùng nhau có thể giúp phát hiện ra các gói phần mềm quảng cáo chứa tệp thực thi Windows chạy được trên macOS.
2 chữ ký mới này được gọi là "PE", giúp phát hiện các tệp Windows PE và "MACOS.d1e06b8", đồng thời cũng được sử dụng nhằm nhận diện một tệp thực thi Windows được chế tạo đặc biệt để có thể chạy trên máy Mac, như được minh họa dưới đây:
Về cơ bản, XProtect sẽ sử dụng quy tắc trên để phát hiện các tệp thực thi Windows có chứa những chuỗi sau. Lưu ý, các chuỗi bên dưới được xây dựng dựa trên quy tắc hiển thị phía trên, do đó chúng cũng có thể bị “xé” nhỏ.
//*ErborC
()
trackingXML
AllInstal
offer_parameter
offer_id
Các chuỗi này được liên kết với nhiều gói phần mềm quảng cáo có chứa những tệp thực thi Windows đã được sửa đổi để chạy trên máy Mac bằng cách sử dụng Mono C# framework.
Mã độc nhắm mục tiêu gói phần mềm quảng cáo Mac.
Vào tháng 2 vừa qua, một số trang tin công nghệ lớn trên thế giới đã ra báo cáo về các trường hợp phần mềm độc hại được phát hiện lợi dụng trình cài đặt Mac để khởi chạy các tệp thực thi Windows bằng cách sử dụng Mono C# framework.
Mono về cơ bản là một framework đa nền tảng, cho phép các chương trình C# chạy trên nhiều hệ điều hành phổ biến hiện nay, trong đó có Windows, Mac và Linux.
Một số mẫu phần mềm độc hại được phát hiện sẽ trích xuất một tệp thực thi Windows có tên Installer.exe. Sau đó tệp này sẽ sử dụng các thư viện Mono Mac đi kèm để có thể chạy được trên hệ điều hành này.
Sau khi đã khởi chạy thành công, các gói phần mềm quảng cáo sẽ âm thầm liên hệ với những máy chủ từ xa của kẻ gian để tải xuống các “offer” và cài đặt chúng vào hệ thống của nạn nhân. Những “offer” này có thể là các tiện ích mở rộng trình duyệt, phần mềm quảng cáo, công cụ khai thác và đánh cắp mật khẩu không mong muốn.
Mặc dù các gói phần mềm quảng cáo này về bản chất là tệp thực thi của Windows, nhưng chúng lại thực sự không thể chạy được trên Windows. Điều này là do chúng được lập trình để cố gắng tải các thư viện Mac Mono framework, trong khi những thư viện này lại hoàn toàn không có sẵn trong Windows. Nếu bạn cố chạy các tệp thực thi này trong Windows, hệ thống sẽ báo lỗi như được hiển thị trong hình minh họa dưới đây:
Khi các ngôn ngữ lập trình như C# trở thành ngôn ngữ đa nền tảng, việc có thể phát hiện ra tệp Windows PE sẽ đóng vai trò rất quan trọng trong việc bảo vệ người dùng trước các phần mềm độc hại, vốn có thể dễ dàng lây lan sang máy Mac sử dụng những framework như Mono.