2020年11月,苹果发布了基于AppleSiliconM1SoC芯片的Mac新品,这标志着苹果正式开始从英特尔的x86CPU过渡到该公司基于其设计的内部产品。Arm架构。2021年2月,研究人员发现了第一批专为苹果M1芯片设计的恶意软件样本,这表明攻击者已经开始修改现有恶意软件,以攻击企业中使用M1芯片的最新版本Mac设备。MacOS安全研究员PatrickWardle表示,苹果新M1芯片的设计要求开发者开发新版本的应用程序,以实现更好的性能和适应性。同时,恶意软件作者也采取了类似的措施来构建恶意软件,以达到在苹果最新的M1芯片上执行恶意软件的目的。该恶意软件是一个名为GoSearch22的Safari广告恶意软件扩展,最初运行在英特尔x86芯片上,后来迁移到基于ARM的M1芯片上。该恶意软件是Pirrit广告软件的变种,于2020年11月23日首次出现,恶意样本于12月27日上传到VirusTotal。研究人员分析证实,恶意软件作者实际上开发了多架构应用程序,因此他们的代码可以运行在M1芯片系统上。恶意GoSearch22app应该是第一个适配M1芯片的恶意软件样本。使用M1芯片的Mac设备在运行x86软件时需要动态二进制翻译器Rosetta的帮助,这不仅可以提高效率,还可以绕过恶意软件的检测。Pirrit是2016年首次出现的常驻mac恶意软件家族,它会向用户推送欺骗性广告,用户点击后会下载安装包含信息收集功能的应用程序。GoSearch22广告恶意软件是一种多重混淆,它伪装成合法的Safari浏览器扩展程序,但实际上会收集浏览数据并显示大量广告,此外还会显示指向其他恶意软件的链接以分发恶意软件。该扩展使用苹果开发者ID“hongsheng_yan”签名,进一步隐藏了恶意内容。由于ID已被撤销,这意味着应用程序无法在macOS上运行,除非它使用另一个证书重新签名。GoSearch22恶意软件的功能既不新鲜也不危险,但它是第一个使用M1芯片的恶意软件,这表明未来会有更多恶意软件针对配备最新版本M1芯片的Mac。此外,研究人员表示,现有的静态分析工具和防病毒引擎对arm64二进制文件的检测能力非常有限,与英特尔x86_64版本相比,准确率下降了15%。完整的技术分析见:https://objective-see.com/blog/blog_0x62.html本文翻译自:https://thehackernews.com/2021/02/first-malware-designed-for-apple-m1.html转载请注明原文地址。
