20202011年11月,苹果公司发布了基于Apple Silicon M1 SoC新的芯片制造Mac这标志着苹果正式从产品开始Intel的x86 CPU基于公司本身的过渡到公司本身Arm内部产品的架构设计。2021年2月,研究人员发现了之一个专门为苹果设计的产品M1 芯片设计的恶意软件样本表明攻击者已经开始修改现有的恶意软件来攻击企业M1芯片的最新版本的Mac 设备了。
macOS 安全研究人员Patrick Wardle说,苹果新M1 芯片的设计要求开发者开发新版本APP 为了获得更好的性能和适应性,恶意软件作者也采取了类似的措施来构建恶意软件,以实现苹果最新M1 在芯片上执行恶意软件的目的。
恶意软件叫GoSearch22的Safari 恶意广告软件扩展原本是在运行Intel x86芯片后来迁移到基于芯片的基础上ARM的M1 芯片。恶意软件是Pirrit 2020年11月23日,次出现广告恶意软件变种,恶意样本上传至VirusTotal 时间为12月27日。
研究人员经过分析确认了恶意软件开发者实际上开发了多架构的应用,所以其代码可以在M1 运行在芯片系统上。GoSearch22 应用应该是之一个适应M1 芯片恶意软件样本。
使用M1 芯片的Mac 设备在运行x86 软件需要动态二进制翻译器Rosetta 的帮助不仅可以提高效率,还可以绕过恶意软件的检测。
Pirrit是一个的mac 恶意软件家族最早出现在2016年,将欺骗性广告推送给用户。点击后,用户将下载并安装包含信息收集功能的广告app。
GoSearch22 恶意广告软件经过多次混淆,会伪装成合法的Safari 浏览器扩展实际上收集浏览数据并显示大量广告,并显示其他恶意软件的链接来分发恶意软件。
扩展使用苹果开发者ID "hongsheng_yan"为了签名,恶意内容进一步隐藏,因为ID 已被吊销,也就是说,该应用程序不能在那里macOS 上在运行,除非用另外一个证书对其再次签名。
GoSearch22 恶意软件的功能不是全新的,也不是很危险,但这是之一个适应M1 芯片的恶意软件表明未来会有更多的攻击最新版本M1芯片 mac恶意软件出现。
此外,研究人员还表示,现有的静态分析工具和反病毒引擎arm64 二进制文件的检测能力非常有限Intel x86_64与版本相比,准确率下降了15%。
参见完整技术分析:https://objective-see.com/blog/blog_0x62.html
本文翻译自:https://thehackernews.com/2021/02/first-malware-designed-for-apple-m1.html若转载,请注明原文地址。