Был обнаружен один из первых образцов вредоносных программ, разработанных специально для работы на чипах М1 компании Apple, что указывает на то, что злоумышленники начали адаптировать вредоносные программы для работы на новейшем поколении компьютеров Mac на базе собственных процессоров Apple.
По словам исследователя безопасности MacOS Патрика Уордла, в то время как переход на процессоры Apple потребовал от разработчиков создания новых версий своих приложений для обеспечения лучшей производительности и совместимости, авторы вредоносных программ сейчас предпринимают аналогичные шаги по созданию вредоносных программ, заточенных под работу на новых системах Apple M1.
Уордл подробно рассказал о рекламном расширении Safari под названием GoSearch22, которое изначально было написано для работы на чипах Intel x86, но с тех пор было портировано для работы на ARM-чипах M1. Расширение, являющееся вариантом рекламного вредоносного ПО Pirrit, впервые было замечено 23 ноября 2020 года, согласно образцу, загруженному в VirusTotal 27 декабря.
«Сегодня мы подтвердили, что злоумышленники действительно создают мультиархитектурные приложения, так что их код будет работать на системах M1», - сообщил Уордл в опубликованной вчера статье. «Вредоносное приложение GoSearch22 может быть первым примером нативного кода, совместимого с M1».
В то время как системы на базе M1 могут работать с программным обеспечением x86 с помощью динамического двоичного транслятора под названием Rosetta, преимущества нативной поддержки для вредоноса означают не только повышение эффективности, но и увеличение вероятности оставаться вне поля зрения систем защиты, не привлекая к себе нежелательного внимания.
Впервые задокументированное в 2016 году Pirrit - это давно существующее рекламное семейство программ под Mac, известное тем, что продвигает навязчивую и вредоносную рекламу, при нажатии на которую пользователи загружают и устанавливают нежелательные приложения с функциями сбора информации.
GoSearch22 маскируется под законное расширение браузера Safari, когда на самом деле оно собирает данные о просмотре и обслуживает большое количество рекламных объявлений, таких как баннеры и всплывающие окна, в том числе со ссылками на сомнительные веб-сайты для распространения дополнительных вредоносных программ.
Уордл заявил, что расширение было подписано идентификатором разработчика "hongsheng_yan" в ноябре для дальнейшего сокрытия вредоносного содержимого, но с тех пор оно было отозвано, что означает, что приложение больше не будет работать под MacOS, если злоумышленники не переподпишут его другим сертификатом.
Хотя события показывают, что вредоносное ПО продолжает развиваться вместе с внедрением аппаратных изменений, Уордл предупредил, что «инструменты статического анализа или антивирусные движки могут иметь трудности с исполняемыми файлами arm64», при этом количество обнаружений от ведущих в отрасли программ по безопасности упало на 15% по сравнению с системами на Intel x86_64.
Вредоносные возможности GoSearch22 могут быть не слишком новыми или опасными, но не в этом дело. Появление новых M1-совместимых вредоносных программ говорит о том, что это только начало, и в будущем, скорее всего, появится только больше их вариантов.
Перевод сделан со статьи: https://thehackernews.com