专门定制在苹果 M1 芯片上运行的首批恶意软件样本已现身,说明恶意人员已开始针对苹果最新一代 Mac 开发出了新恶意软件。

macOS 安全研究员 Patrick Wardle 指出,虽然转向 Apple Silicon 使得开发人员不得不构建应用程序新版本以确保更好的性能和兼容性,但恶意软件作者目前正在采取类似步骤构建恶意软件,以便在苹果的M1新系统上执行。

Wardle 详述了Safari 的一个广告软件扩展 GoSearch22,它最初在 Intel x86 芯片上运行,不过之后移植到基于 ARM 的 M1 芯片上运行。该恶意扩展时 Pirrit 广告恶意软件的一个变体,最初现身于2020年11月23日。

Wardle 在 write-up 中指出,“今天我们证实,这些恶意堆收确实构建了多架构应用程序,以使其代码在 M1 系统上运行。恶意 GoSearch22 应用程序可能是此类原生 M1 可兼容代码的首个案例。”

虽然 M1 Mac 可借助动态二进制编译器 Rosetta 运行 x86软件,但原生支持的好处意味着不仅效率提升,而且也不容易引起注意。

Pirrit 首次于2016年被发现,是一款持久的 Mac 广告软件家族,因推送入侵性和欺骗性广告而臭名昭著。用户点击后,它会下载并安装不必要的应用程序,而这些应用程序具有信息收集的特征。

被深度混淆的 GoSearch22 广告软件伪装成一款合法的 Safari 浏览器扩展,但实际上会收集浏览数据并传送大量广告如弹出消息等,有些还链接分发其它恶意软件的网站。

Wardle 表示该扩展在11月份以Apple Developer ID “hongsheng_yan” 签名,不过之后被撤销。也就是说除非攻击者以其它证书重新签名,否则该应用程序再也无法在 macOS 上运行。

尽管这起事件说明恶意软件继续演进,直接和硬件更改响应,但 Wardle 警告称,“静态分析工具或反病毒引擎可能会困战于 arm64 二进制“,和 Intel x86_64 版本相比,检测率下降了15%。

GoSearch22 的恶意软件能力可能并不新也不危险,但这并非讨论重点。兼容 M1 的新型恶意软件的出现只是个开始,未来可能会出现更多的变体。

原文链接

https://thehackernews.com/2021/02/first-malware-designed-for-apple-m1.html

声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。