最近幾天，安全研究人員連續(xù)發(fā)現(xiàn)兩款針對蘋果M1芯片的惡意軟件，一款是Silver Sparrow(銀雀)，另一款是GoSearch 22，而此時距離M1芯片發(fā)布才3個月。

據(jù)AppInsider 2月22日報道，安全研究公司Red Canary表示全球近3萬臺Mac電腦已經(jīng)感染了惡意軟件Silver Sparrow，但尚不清楚該惡意軟件的目標。

蘋果方面表示已撤銷Silver Sparrow內(nèi)二進制檔案的開發(fā)者憑證，在產(chǎn)品和服務(wù)中采用了許多安全性硬件和軟件保護，并部署了可以防止威脅產(chǎn)生影響的常規(guī)軟件更新。

非典型惡意廣告軟件

根據(jù)阻止勒索軟件攻擊的網(wǎng)站Malwarebytes的數(shù)據(jù)，截至2月17日，Silver Sparrow感染了153個國家的29139臺Mac設(shè)備，其中美國、英國、加拿大、法國和德國的集中度更高。

研究人員稱，Silver Sparrow并非典型的惡意廣告軟件。大多數(shù)macOS廣告軟件使用“預(yù)安裝”和“后安裝”腳本來執(zhí)行命令，或者安裝更多的惡意軟件，但Silver Sparrow利用JavaScript來執(zhí)行其命令。使用JavaScript會產(chǎn)生不同的遙測，使其更難根據(jù)命令行參數(shù)來檢測惡意活動。

SilverSparrow使用JavaScript創(chuàng)建shell腳本與命令和控制服務(wù)器通信，并創(chuàng)建LaunchAgent Plist XML文件以定期執(zhí)行shell腳本。

LaunchAgent 會每小時檢測控制服務(wù)器，確認是否有新的指令。在運行時，惡意軟件會檢查是否存在~/Library/._insu文件，一旦發(fā)現(xiàn)就將刪除該文件及所有相關(guān)文件。

Silver Sparrow存在兩種版本，分別針對英特爾的x86處理器以及搭載蘋果M1芯片的新款Mac電腦。

Red Canary指出，兩種版本的Silver Sparrow內(nèi)含的二進制檔案尚無太大威脅，x86版本在Mac上執(zhí)行時，只會跳出一個顯示“Hello World!”的窗口，而M1版本執(zhí)行時則是跳出“You did it!”的紅底窗口。

研究人員表示，盡管尚未觀察到Silver Sparrow造成的傷害，但考慮到M1芯片的兼容性、感染范圍、相對較高的感染率等特性，該惡意軟件時非常嚴重的資料安全威脅。

M1芯片已成為攻擊目標

在Silver Sparrow被發(fā)現(xiàn)的前幾天，研究人員剛剛發(fā)現(xiàn)了第一款針對M1芯片的惡意軟件GoSearch 22。

該惡意軟件由Mac資料安全研究人員Patrick Wardle發(fā)現(xiàn)，它是Mac廣告軟件Pirrit的變體，專門針對M1版本。Pirrit向用戶推送欺騙性廣告，當用戶點擊時，就會下載安裝流氓軟件并暗中收集用戶信息。

而變體后的GoSearch 22具有高度混淆性，可以偽裝成合法的Safari瀏覽器擴展程序，默默收集用戶瀏覽數(shù)據(jù)并投放大量惡意網(wǎng)站廣告，導致用戶感染更多惡意軟件。

GoSearch 22在去年11月獲得蘋果開發(fā)者憑證，并在12月底正式登場，被曝光后，已被蘋果撤銷開發(fā)者憑證。

雖然目前只有MacBook Air、MacBook Pro及Mac mini三款新機搭載了M1芯片，但根據(jù)蘋果在未來2年內(nèi)Mac系列產(chǎn)品將全面改用M1芯片的承諾，日后針對M1 芯片的惡意軟件將快速增加，受影響的Mac系列產(chǎn)品也將不止3萬臺，蘋果和Mac用戶將面臨更大挑戰(zhàn)。