macOS向けに「.NET Framework」を用いた攻撃 - 「Gatekeeper」を回避

マルウェアとして動作するファイルは、本来Windows向けの実行ファイル形式である「exeファイル」として作成されており、インストーラに偽装されたファイルを開くと、同フレームワークを通じて同ファイルが実行されるしくみだった。

感染すると、シリアル番号やUUID、モデルIDのほか、インストールされたアプリなどシステムの情報を収集して外部のコマンド＆コントロールサーバへ送信。「Adobe Flash Player」に見せかけたアドウェアのイメージファイルをダウンロードしてマウントし、実行する。

問題の「exeファイル」は、macOS上でのみ動作し、本来のネイティブ環境であるはずのWindowsでは実行できないファイルだった。

またmacOSには、署名を検証し、不正なアプリの起動を防ぐ「Gatekeeper」が用意されているものの、対象はネイティブアプリのみで、ランタイム上で稼働し、マルウェアである「exeファイル」については検証対象ではなく回避されるという。

（Security NEXT - 2019/03/01 ）ツイート