最近幾天，安全研究人員連續(xù)發(fā)現(xiàn)兩款針對(duì)蘋果M1芯片的惡意軟件，一款是Silver Sparrow(銀雀)，另一款是GoSearch 22，而此時(shí)距離M1芯片發(fā)布才3個(gè)月。

據(jù)AppInsider 2月22日?qǐng)?bào)道，安全研究公司Red Canary表示全球近3萬(wàn)臺(tái)Mac電腦已經(jīng)感染了惡意軟件Silver Sparrow，但尚不清楚該惡意軟件的目標(biāo)。

蘋果方面表示已撤銷Silver Sparrow內(nèi)二進(jìn)制檔案的開發(fā)者憑證，在產(chǎn)品和服務(wù)中采用了許多安全性硬件和軟件保護(hù)，并部署了可以防止威脅產(chǎn)生影響的常規(guī)軟件更新。

非典型惡意廣告軟件

根據(jù)阻止勒索軟件攻擊的網(wǎng)站Malwarebytes的數(shù)據(jù)，截至2月17日，Silver Sparrow感染了153個(gè)國(guó)家的29139臺(tái)Mac設(shè)備，其中美國(guó)、英國(guó)、加拿大、法國(guó)和德國(guó)的集中度更高。

研究人員稱，Silver Sparrow并非典型的惡意廣告軟件。大多數(shù)macOS廣告軟件使用“預(yù)安裝”和“后安裝”腳本來(lái)執(zhí)行命令，或者安裝更多的惡意軟件，但Silver Sparrow利用JavaScript來(lái)執(zhí)行其命令。使用JavaScript會(huì)產(chǎn)生不同的遙測(cè)，使其更難根據(jù)命令行參數(shù)來(lái)檢測(cè)惡意活動(dòng)。

SilverSparrow使用JavaScript創(chuàng)建shell腳本與命令和控制服務(wù)器通信，并創(chuàng)建LaunchAgent Plist XML文件以定期執(zhí)行shell腳本。

LaunchAgent 會(huì)每小時(shí)檢測(cè)控制服務(wù)器，確認(rèn)是否有新的指令。在運(yùn)行時(shí)，惡意軟件會(huì)檢查是否存在~/Library/._insu文件，一旦發(fā)現(xiàn)就將刪除該文件及所有相關(guān)文件。

Silver Sparrow存在兩種版本，分別針對(duì)英特爾的x86處理器以及搭載蘋果M1芯片的新款Mac電腦。

Red Canary指出，兩種版本的Silver Sparrow內(nèi)含的二進(jìn)制檔案尚無(wú)太大威脅，x86版本在Mac上執(zhí)行時(shí)，只會(huì)跳出一個(gè)顯示“Hello World!”的窗口，而M1版本執(zhí)行時(shí)則是跳出“You did it!”的紅底窗口。

研究人員表示，盡管尚未觀察到Silver Sparrow造成的傷害，但考慮到M1芯片的兼容性、感染范圍、相對(duì)較高的感染率等特性，該惡意軟件時(shí)非常嚴(yán)重的資料安全威脅。

M1芯片已成為攻擊目標(biāo)

在Silver Sparrow被發(fā)現(xiàn)的前幾天，研究人員剛剛發(fā)現(xiàn)了第一款針對(duì)M1芯片的惡意軟件GoSearch 22。

該惡意軟件由Mac資料安全研究人員Patrick Wardle發(fā)現(xiàn)，它是Mac廣告軟件Pirrit的變體，專門針對(duì)M1版本。Pirrit向用戶推送欺騙性廣告，當(dāng)用戶點(diǎn)擊時(shí)，就會(huì)下載安裝流氓軟件并暗中收集用戶信息。

而變體后的GoSearch 22具有高度混淆性，可以偽裝成合法的Safari瀏覽器擴(kuò)展程序，默默收集用戶瀏覽數(shù)據(jù)并投放大量惡意網(wǎng)站廣告，導(dǎo)致用戶感染更多惡意軟件。

GoSearch 22在去年11月獲得蘋果開發(fā)者憑證，并在12月底正式登場(chǎng)，被曝光后，已被蘋果撤銷開發(fā)者憑證。

雖然目前只有MacBook Air、MacBook Pro及Mac mini三款新機(jī)搭載了M1芯片，但根據(jù)蘋果在未來(lái)2年內(nèi)Mac系列產(chǎn)品將全面改用M1芯片的承諾，日后針對(duì)M1 芯片的惡意軟件將快速增加，受影響的Mac系列產(chǎn)品也將不止3萬(wàn)臺(tái)，蘋果和Mac用戶將面臨更大挑戰(zhàn)。