2020年11月，蘋果公司發(fā)布了基于Apple Silicon M1 SoC芯片打造的新Mac產(chǎn)品，這標志著蘋果正式開啟了從Intel的x86 CPU過渡到該公司自己基于Arm架構(gòu)設(shè)計的內(nèi)部產(chǎn)品。2021年2月，研究人員發(fā)現(xiàn)了首個專門為蘋果M1 芯片設(shè)計的惡意軟件樣本，這表明攻擊者已經(jīng)開始修改現(xiàn)有惡意軟件來攻擊企業(yè)中使用M1芯片的最新版本的Mac 設(shè)備了。

macOS 安全研究人員Patrick Wardle說，蘋果新M1 芯片的設(shè)計要求開發(fā)者開發(fā)新版本的APP 來獲得更好的性能和適配性，與此同時，惡意軟件作者也采取了類似的措施來構(gòu)建惡意軟件，以達到在蘋果最新的M1 芯片上執(zhí)行惡意軟件的目的。

該惡意軟件是一個名為GoSearch22的Safari 廣告惡意軟件擴展，原來是運行在Intel x86芯片上，后來被遷移到了基于ARM的M1 芯片上。該惡意軟件是Pirrit 廣告惡意軟件的變種，最早出現(xiàn)在2020年11月23日，惡意樣本上傳到VirusTotal 的時間為12月27日。

研究人員經(jīng)過分析確認了惡意軟件開發(fā)者實際上開發(fā)了多架構(gòu)的應(yīng)用，所以其代碼可以在M1 芯片系統(tǒng)上運行。惡意GoSearch22 應(yīng)用應(yīng)該是首個適配M1 芯片的惡意軟件樣本。

使用M1 芯片的Mac 設(shè)備在運行x86 軟件時需要動態(tài)二進制翻譯器Rosetta 的幫助，這不僅可以提升效率，還可以繞過對惡意軟件的檢測。

Pirrit是一個駐留的mac 惡意軟件家族，最早出現(xiàn)在2016年，會向用戶推送欺騙性的廣告，用戶點擊后會下載和安裝包含有信息收集功能的app。

GoSearch22 廣告惡意軟件是經(jīng)過多重混淆的，會將自己偽裝為合法的Safari 瀏覽器擴展，實際上會收集瀏覽數(shù)據(jù)并展示大量的廣告，此外還會展示其他惡意軟件的鏈接來分發(fā)惡意軟件。

該擴展使用蘋果開發(fā)者ID "hongsheng_yan"來簽名，進一步隱藏了惡意內(nèi)容，由于該ID 已經(jīng)被吊銷，也就是說該應(yīng)用無法在macOS 上在運行，除非用另外一個證書對其再次簽名。

GoSearch22 惡意軟件的功能并不是全新的，也不是很危險，但是這是首個適配M1 芯片的惡意軟件，這表明未來會有更多的攻擊最新版本M1芯片 mac的惡意軟件出現(xiàn)。

此外，研究人員還稱，現(xiàn)有靜態(tài)分析工具和反病毒引擎對arm64 二進制文件的檢測能力非常有限，與Intel x86_64版本相比，準確率下降了15%。

完整技術(shù)分析參見：https://objective-see.com/blog/blog_0x62.html

本文翻譯自：https://thehackernews.com/2021/02/first-malware-designed-for-apple-m1.html如若轉(zhuǎn)載，請注明原文地址。