查看原文
其他

专门针对苹果 M1 芯片的首款恶意软件已现身

Ravie Lakshmanan 代码卫士 2024-07-14

 聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士团队


专门定制在苹果 M1 芯片上运行的首批恶意软件样本已现身,说明恶意人员已开始针对苹果最新一代 Mac 开发出了新恶意软件。


macOS 安全研究员 Patrick Wardle 指出,虽然转向 Apple Silicon 使得开发人员不得不构建应用程序新版本以确保更好的性能和兼容性,但恶意软件作者目前正在采取类似步骤构建恶意软件,以便在苹果的M1新系统上执行。

Wardle 详述了Safari 的一个广告软件扩展 GoSearch22,它最初在 Intel x86 芯片上运行,不过之后移植到基于 ARM 的 M1 芯片上运行。该恶意扩展时 Pirrit 广告恶意软件的一个变体,最初现身于2020年11月23日。

Wardle 在 write-up 中指出,“今天我们证实,这些恶意堆收确实构建了多架构应用程序,以使其代码在 M1 系统上运行。恶意 GoSearch22 应用程序可能是此类原生 M1 可兼容代码的首个案例。”

虽然 M1 Mac 可借助动态二进制编译器 Rosetta 运行 x86软件,但原生支持的好处意味着不仅效率提升,而且也不容易引起注意。

Pirrit 首次于2016年被发现,是一款持久的 Mac 广告软件家族,因推送入侵性和欺骗性广告而臭名昭著。用户点击后,它会下载并安装不必要的应用程序,而这些应用程序具有信息收集的特征。

被深度混淆的 GoSearch22 广告软件伪装成一款合法的 Safari 浏览器扩展,但实际上会收集浏览数据并传送大量广告如弹出消息等,有些还链接分发其它恶意软件的网站。

Wardle 表示该扩展在11月份以Apple Developer ID “hongsheng_yan” 签名,不过之后被撤销。也就是说除非攻击者以其它证书重新签名,否则该应用程序再也无法在 macOS 上运行。

尽管这起事件说明恶意软件继续演进,直接和硬件更改响应,但 Wardle 警告称,“静态分析工具或反病毒引擎可能会困战于 arm64 二进制“,和 Intel x86_64 版本相比,检测率下降了15%。

GoSearch22 的恶意软件能力可能并不新也不危险,但这并非讨论重点。兼容 M1 的新型恶意软件的出现只是个开始,未来可能会出现更多的变体。






推荐阅读
FPGA 芯片被曝严重的 Starbleed 漏洞,影响数据中心IoT工业设备等
Intel 芯片集被曝漏洞,可导致加密数据被盗
RSAC | WiFi 芯片被曝高危漏洞,影响全球数十亿台设备



原文链接

https://thehackernews.com/2021/02/first-malware-designed-for-apple-m1.html


题图:Pixabay License


本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。



奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    觉得不错,就点个 “在看” 或 "” 吧~



继续滑动看下一个
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存