独立安全研究人员Patrick Wardle发现了第一个Apple Silicon M1 Mac原生的恶意软件。前美国国家安全局研究员帕特里克-沃德尔(Patrick Wardle)最近对苹果M1处理器的安全性大加赞赏,但即便如此,现在也发现了黑客为其重新编译恶意软件的证据。
Wardle发现了GoSearch22.app的存在,它是长期存在的Pirrit病毒的M1原生版本。这个版本似乎是为了显示广告和收集用户浏览器的数据。
"今天我们证实,恶意对手确实在制作多架构应用,这样他们的代码就能原生运行在M1系统上,"Wardle在一篇博客文章中说。"恶意的GoSearch22应用程序可能是这种原生兼容M1代码的第一个例子。这种应用程序的创建值得注意,主要有两个原因,"他继续说道。"毫不奇怪,这说明恶意代码在继续发展,直接响应苹果推出的硬件和软件变化。"
原生分发原生arm64二进制文件有无数的好处,恶意软件作者没有理由不这么做,其次,更令人担忧的是,由于架构较新,(静态)分析工具或反病毒引擎可能难以检测到它。
Wardle表示,目前一些可以发现英特尔版本Pirrit病毒的反病毒系统,都无法识别Apple Silicon M1版本。
目前苹果已经撤销了开发者证书,使其无法运行。Wardle表示,这意味着关于其分发的某些问题已经无法得到答案。
"不知道的是,苹果是否对代码进行了公证。"Wardle指出,这意味着开发者是否向苹果提交了代码,还是在绕过公司的安全问题。"我们无法回答这个问题,因为苹果已经撤销了证书。"
"我们知道的是,由于这个二进制程序已经在外部被检测到......不管它是否经过认证,macOS用户肯定有被感染了。"
希望了解更多细节可访问研究人员博客:
https://objective-see.com/blog/blog_0x62.html
(举报)
