2020年11月，蘋果公司發(fā)布了基于Apple Silicon M1 SoC芯片打造的新Mac產(chǎn)品，這標(biāo)志著蘋果正式開啟了從Intel的x86 CPU過(guò)渡到該公司自己基于Arm架構(gòu)設(shè)計(jì)的內(nèi)部產(chǎn)品。2021年2月，研究人員發(fā)現(xiàn)了首個(gè)專門為蘋果M1 芯片設(shè)計(jì)的惡意軟件樣本，這表明攻擊者已經(jīng)開始修改現(xiàn)有惡意軟件來(lái)攻擊企業(yè)中使用M1芯片的最新版本的Mac 設(shè)備了。

macOS 安全研究人員Patrick Wardle說(shuō)，蘋果新M1 芯片的設(shè)計(jì)要求開發(fā)者開發(fā)新版本的APP 來(lái)獲得更好的性能和適配性，與此同時(shí)，惡意軟件作者也采取了類似的措施來(lái)構(gòu)建惡意軟件，以達(dá)到在蘋果最新的M1 芯片上執(zhí)行惡意軟件的目的。

該惡意軟件是一個(gè)名為GoSearch22的Safari 廣告惡意軟件擴(kuò)展，原來(lái)是運(yùn)行在Intel x86芯片上，后來(lái)被遷移到了基于ARM的M1 芯片上。該惡意軟件是Pirrit 廣告惡意軟件的變種，最早出現(xiàn)在2020年11月23日，惡意樣本上傳到VirusTotal 的時(shí)間為12月27日。

研究人員經(jīng)過(guò)分析確認(rèn)了惡意軟件開發(fā)者實(shí)際上開發(fā)了多架構(gòu)的應(yīng)用，所以其代碼可以在M1 芯片系統(tǒng)上運(yùn)行。惡意GoSearch22 應(yīng)用應(yīng)該是首個(gè)適配M1 芯片的惡意軟件樣本。

使用M1 芯片的Mac 設(shè)備在運(yùn)行x86 軟件時(shí)需要?jiǎng)討B(tài)二進(jìn)制翻譯器Rosetta 的幫助，這不僅可以提升效率，還可以繞過(guò)對(duì)惡意軟件的檢測(cè)。

Pirrit是一個(gè)駐留的mac 惡意軟件家族，最早出現(xiàn)在2016年，會(huì)向用戶推送欺騙性的廣告，用戶點(diǎn)擊后會(huì)下載和安裝包含有信息收集功能的app。

GoSearch22 廣告惡意軟件是經(jīng)過(guò)多重混淆的，會(huì)將自己偽裝為合法的Safari 瀏覽器擴(kuò)展，實(shí)際上會(huì)收集瀏覽數(shù)據(jù)并展示大量的廣告，此外還會(huì)展示其他惡意軟件的鏈接來(lái)分發(fā)惡意軟件。

該擴(kuò)展使用蘋果開發(fā)者ID "hongsheng_yan"來(lái)簽名，進(jìn)一步隱藏了惡意內(nèi)容，由于該ID 已經(jīng)被吊銷，也就是說(shuō)該應(yīng)用無(wú)法在macOS 上在運(yùn)行，除非用另外一個(gè)證書對(duì)其再次簽名。

GoSearch22 惡意軟件的功能并不是全新的，也不是很危險(xiǎn)，但是這是首個(gè)適配M1 芯片的惡意軟件，這表明未來(lái)會(huì)有更多的攻擊最新版本M1芯片 mac的惡意軟件出現(xiàn)。

此外，研究人員還稱，現(xiàn)有靜態(tài)分析工具和反病毒引擎對(duì)arm64 二進(jìn)制文件的檢測(cè)能力非常有限，與Intel x86_64版本相比，準(zhǔn)確率下降了15%。

完整技術(shù)分析參見：https://objective-see.com/blog/blog_0x62.html

本文翻譯自：https://thehackernews.com/2021/02/first-malware-designed-for-apple-m1.html如若轉(zhuǎn)載，請(qǐng)注明原文地址。