Prvý malvér navrhnutý pre Apple Čip M1 objavený vo voľnej prírode

Jedna z prvých vzoriek malvéru prispôsobená na natívne spustenie AppleObjavili sa čipy M1, čo naznačuje nový vývoj, ktorý naznačuje, že zlí herci začali prispôsobovať škodlivý softvér tak, aby sa zameral na najnovšiu generáciu počítačov Mac poháňaných jej vlastnými procesormi.

Zatiaľ čo prechod na Apple silicon prinútil vývojárov, aby vytvorili nové verzie svojich aplikácií, aby zabezpečili lepší výkon a kompatibilitu, autori malvéru teraz podnikajú podobné kroky na vytvorenie malvéru, ktorý je schopný natívneho spúšťania AppleNové systémy M1 podľa výskumníka macOS Security Patricka Wardlea.

Wardle podrobne opísal rozšírenie adware Safari s názvom GoSearch22, ktoré bolo pôvodne napísané tak, aby fungovalo na čipoch Intel x86, ale odvtedy bolo prenesené na čipy M1 založené na ARM. Nečestné rozšírenie, ktoré je variantom reklamného malvéru Pirrit, bolo prvýkrát videné vo voľnej prírode 23. novembra 2020, podľa vzorky nahranej do VirusTotal 27. decembra.

“Dnes sme potvrdili, že škodliví protivníci skutočne vytvárajú aplikácie s viacerými architektúrami, takže ich kód bude natívne bežať na systémoch M1,” uviedol Wardle vo včera zverejnenom príspevku. “Škodlivá aplikácia GoSearch22 môže byť prvým príkladom takéhoto natívne M1 kompatibilného kódu.”

Zatiaľ čo počítače M1 Mac dokážu spustiť x86 softvér pomocou dynamického binárneho prekladača s názvom Rosetta, výhody natívnej podpory neznamenajú len zlepšenie efektivity, ale aj zvýšenú pravdepodobnosť, že zostanú pod radarom bez toho, aby upútali nežiaducu pozornosť.

Pirrit, prvýkrát zdokumentovaný v roku 2016, je perzistentná rodina adwaru Mac, ktorá je známa tým, že používateľom poskytuje rušivé a klamlivé reklamy, ktoré po kliknutí stiahnu a nainštalujú nechcené aplikácie s funkciami zhromažďovania informácií.

Silne zmätený adware GoSearch22 sa maskuje ako legitímne rozšírenie prehliadača Safari, hoci v skutočnosti zhromažďuje údaje o prehliadaní a zobrazuje veľké množstvo reklám, ako sú bannery a kontextové okná, vrátane niektorých, ktoré odkazujú na pochybné webové stránky na distribúciu ďalšieho škodlivého softvéru.

Wardle povedal, že rozšírenie bolo podpísané s Apple ID vývojára „hongsheng_yan“ v novembri na ďalšie ukrytie škodlivého obsahu, ale odvtedy bolo odvolané, čo znamená, že aplikácia už nebude fungovať v systéme macOS, pokiaľ ju útočníci znova nepodpíšu iným certifikátom.

Hoci vývoj poukazuje na to, ako sa malvér naďalej vyvíja v priamej reakcii na obe zmeny hardvéru, Wardle varoval, že „nástroje (statickej) analýzy alebo antivírusové nástroje môžu zápasiť s binárnymi súbormi arm64, pričom detekcia špičkového bezpečnostného softvéru v porovnaní s tým klesla o 15 %. na verziu Intel x86_64.

Možnosti malvéru GoSearch22 nemusia byť úplne nové alebo nebezpečné, ale to je vedľa. Ak vôbec niečo, objavenie sa nového malvéru kompatibilného s M1 signalizuje, že je to len začiatok a v budúcnosti sa pravdepodobne objavia ďalšie varianty.