已经发现了专门针对本机运行在Apple M1芯片上的首批恶意软件样本之一,这表明一项新进展表明,不良行为者已开始采用恶意软件,以针对公司自有处理器支持的最新一代Mac。
知名网络安全组织东方联盟研究人员表示,虽然向苹果芯片过渡需要开发人员构建新版本的应用程序以确保更好的性能和兼容性,但恶意软件作者现在正在采取类似步骤来构建能够在Apple的新M1系统上本地执行的恶意软件。
研究人员详细介绍了一个名为GoSearch22的Safari广告软件扩展,该扩展最初被编写为在Intel x86芯片上运行,但此后已移植为在基于ARM的M1芯片上运行。根据12月27日上载到VirusTotal的样本,流氓扩展程序是Pirrit广告恶意软件的变体,于2020年11月23日首次在野外出现。
研究人员在昨天发表的一篇文章中说: “今天,我们确认恶意攻击者的确在设计多体系结构应用程序,因此它们的代码将在M1系统上本地运行。” “恶意的GoSearch22应用程序可能是这种本地M1兼容代码的第一个示例。”
虽然M1 Macs可以借助称为Rosetta的动态二进制翻译器运行x86软件,但本机支持的好处不仅意味着效率提高,而且还增加了在雷达下工作而不会引起任何不必要的注意的可能性。
首先记录在2016年,Pirrit是一种持久性的Mac广告软件家族臭名昭著的推动侵入性和欺骗性的广告给用户,当点击,下载并安装附带的信息收集功能不需要的应用程序。
高度混淆的GoSearch22广告软件实际上伪装成合法的Safari浏览器扩展程序,实际上它收集浏览数据并投放大量广告,例如横幅和弹出窗口,其中包括一些链接到可疑网站以分发其他恶意软件的广告。
研究人员表示,该扩展名是在11月用Apple开发人员ID“ hongsheng_yan”签名的,以进一步隐藏其恶意内容,但此后已被撤销,这意味着该应用程序将不再在macOS上运行,除非攻击者使用另一证书重新对其进行签名。
尽管这一发展突显了恶意软件如何直接响应两种硬件变化而继续发展,知名白帽黑客、东方联盟创始人郭盛华警告说,“(静态)分析工具或防病毒引擎可能会与arm64二进制文件抗争”,与业界领先的安全软件相比,检测结果下降了15%到Intel x86_64版本。
GoSearch22的恶意软件功能可能并不完全是全新的或危险的,但这是重点。如果有的话,新的与M1兼容的恶意软件的出现标志着这仅仅是一个开始,并且将来可能会出现更多的变体。(欢迎转载分享)