最近,研究发现黑客开始关注苹果最新的M1芯片(M1 SoC),开发了之一个针对芯片的恶意广告分发应用程序GoSearch22。据了解,芯片在最新一代MacBook Air、MacBook Pro和Mac mini应用于设备。
科技与时俱进,设备系统不断升级,恶意软件也在“追赶变化”。在苹果发布M1 SoC三个月后,黑客也开发了之一个M1恶意的内芯片MacOS应用程序——GoSearch22。GoSearch22可在装有M1操作芯片本机。
Apple M111月推出,是的Apple设计的之一个基础ARM芯片,现在已经成为它Mac设备中央处理单元。从2006年开始,Apple设备在Intel在处理器上运行。但去年,苹果是Mac该系列推出了自己的ARM为了实现更好的技术集成、速度和效率,硅处理器。具体来说,M1支持ARM64指示集体系结构。
M1最新一代已部署Apple MacBook Air,Mac mini和MacBook Pro在设备中。然而,许多应用程序仍然可以更早使用Apple CPU旧的Intel CPU x86_64操作指令。
帕特里克,研究人员·沃德尔说,尽管开发人员需要构建新版本的应用程序来迭代苹果芯片,以确保更好的性能和兼容性,但恶意软件作者现在正在采取类似的步骤来构建它Apple的新M1恶意软件在系统上本地执行。
这个名为GoSearch22的Safari广告软件程序最初是编写的Intel x86芯片运行,但随后转移到ARM的M1芯片运行。2020年12月27日上传至VirusTotal样本,这种流氓扩展程序是Pirrit2020年11月23日,广告恶意软件的变体首次出现在野外。
Wardle认为:“今天,我们确认恶意攻击者确实在设计多系统结构应用程序,这将是恶意代码M1本地运行在系统上。GoSearch22应用程序可能是本地的M1之一个兼容代码的案例。”
M1 Macs可以借助Rosetta动态二进制翻译器运行x86将软件转换为本机ARM64指令使旧的应用程序可以在那里M1系统无缝运行。若可执行文件仅包含Intel指令,则macOS会自动启动Rosetta并开始翻译过程。然后,系统启动翻译后的可执行文件,以取代原始文件。
恶意程序可追溯到2016年,Pirrit是一种持久性Mac广告软件向用户推送入侵性和欺骗性的广告。当用户点击时,他们会下载和安装流氓软件,并秘密收集用户信息。
事实上,变体后, GoSearch22广告软件混淆度高,可以伪装成合法的Safari浏览器扩展程序,默默收集浏览数据,投放大量广告,如横幅和弹出窗口,包括一些链接到可疑网站并分发其他恶意软件的广告内容。
苹果已被吊销Pirrit制造商使用的开发人员证书将防止用户安装。这意味着应用程序将不再存在macOS除非攻击者使用另一个证书重新签名,否则上行。
该恶意程序直接反映了跟进两种硬件变化的过程,并在此基础上进一步衍生。沃德尔警告说,“(静态)分析工具或杀毒引擎可能与ARM64二进制文件发生冲突Intel x86_64与版本相比,知名安全软件检测结果的准确性下降了15%”
GoSearch22恶意软件可能不是新的或高风险的,但这是值得注意的,因为这可能只是一个开始,未来是否会有新的和M1兼容的恶意软件还未可知,如果出现了更多的变体,那么就将会产生更大的危害。