近日，研究發(fā)現(xiàn)黑客開始將目光轉(zhuǎn)向蘋果最新的M1芯片(M1 SoC)，開發(fā)了首個針對該芯片的惡意廣告分發(fā)應(yīng)用程序GoSearch22。據(jù)了解，該芯片在其最新一代的MacBook Air、MacBook Pro和Mac mini設(shè)備中均有應(yīng)用。

[[382341]]

科技在與時俱進，設(shè)備系統(tǒng)在不斷升級換代，惡意軟件也在“追趕變化”。在蘋果發(fā)布M1 SoC三個月后，黑客也開發(fā)了首個針對M1內(nèi)部芯片的惡意MacOS應(yīng)用程序——GoSearch22。GoSearch22可在裝有M1芯片的本機上運行。

Apple M1于11月推出，是Apple設(shè)計的首款基于ARM的芯片，現(xiàn)已成為其Mac設(shè)備的中央處理單元。從2006年開始，Apple設(shè)備在Intel處理器上運行。但是去年，蘋果為Mac系列推出了自己的ARM硅處理器，以期實現(xiàn)更好的技術(shù)集成，速度和效率。具體來說，M1支持ARM64指令集體系結(jié)構(gòu)。

M1已部署在最新一代的Apple MacBook Air，Mac mini和MacBook Pro設(shè)備中。但是，許多應(yīng)用程序仍可以在較早的Apple CPU上使用的較舊的Intel CPU x86_64指令上運行。

研究人員帕特里克·沃德爾表示，雖然向蘋果芯片迭代需要開發(fā)人員構(gòu)建新版本的應(yīng)用程序以確保更好的性能和兼容性，但惡意軟件作者現(xiàn)在正在采取類似步驟來構(gòu)建能夠在Apple的新M1系統(tǒng)上本地執(zhí)行的惡意軟件。

這個名為GoSearch22的Safari廣告軟件程序最初被編寫為在Intel x86芯片上運行，但后續(xù)被轉(zhuǎn)移到ARM的M1芯片上運行。根據(jù)2020年12月27日上傳到VirusTotal的樣本，這類流氓擴展程序是Pirrit廣告惡意軟件的變體，于2020年11月23日首次在野外出現(xiàn)。

Wardle認為：“今天，我們確認惡意攻擊者的確在設(shè)計多體系結(jié)構(gòu)應(yīng)用程序，這類惡意代碼將在M1系統(tǒng)上進行本地運行。惡意的GoSearch22應(yīng)用程序可能是這種本地M1兼容代碼的第一個案例。”

M1 Macs可以借助Rosetta動態(tài)二進制翻譯器運行x86軟件，轉(zhuǎn)換為本機ARM64指令，以便較舊的應(yīng)用程序可以在M1系統(tǒng)上無縫運行。如果可執(zhí)行文件僅包含Intel指令，則macOS會自動啟動Rosetta并開始翻譯過程。然后，系統(tǒng)啟動翻譯后的可執(zhí)行文件來代替原始文件。

該惡意程序可以追溯到2016年，Pirrit是一種持久性的Mac廣告軟件，向用戶推送入侵性的和欺騙性的廣告，當用戶點擊時，就會下載、安裝流氓軟件，并暗中收集用戶信息。

實際上變體后， GoSearch22廣告軟件具有高度混淆性，可以偽裝成合法的Safari瀏覽器擴展程序，默默收集瀏覽數(shù)據(jù)并投放大量廣告，例如橫幅和彈出窗口，包括一些鏈接到可疑網(wǎng)站并分發(fā)其他惡意軟件的廣告內(nèi)容。

蘋果公司已經(jīng)吊銷了Pirrit制造商使用的開發(fā)人員證書，這將阻止用戶安裝它。這意味著該應(yīng)用程序?qū)⒉辉僭趍acOS上運行，除非攻擊者使用另一證書重新對其進行簽名。

該惡意程序直接反映了跟進兩種硬件變化的過程，并在此基礎(chǔ)上進一步衍生。沃德爾警告說，“(靜態(tài))分析工具或殺毒引擎可能會與ARM64二進制文件發(fā)生沖突，與Intel x86_64版本相比，知名的安全軟件檢測結(jié)果準確性下降了15%”

GoSearch22的惡意軟件可能不是全新的或高風(fēng)險的，但是這才是值得人們關(guān)注的，因為這或許只是一個開始，未來是否會出現(xiàn)新的與M1兼容的惡意軟件還未可知，如果出現(xiàn)了更多的變體，那么就將會產(chǎn)生更大的危害。