На компьютерах Mac M1 появилось первое вредоносное ПО Apple Silicon
Первое вредоносное ПО, оптимизированное для кремниевых Mac Apple, было обнаружено в «дикой природе» и затронуло владельцев последних компьютеров Apple, работающих на собственном чипе M1.
Это новое вредоносное ПО было впервые обнаружено 27 декабря, через несколько недель после выпуска первых компьютеров Mac M1. Следовательно, вполне возможно, что некоторые люди были заражены.
Бывший исследователь безопасности АНБ Патрик Уордл в своем блоге Objective-See пишет:
Сегодня мы подтвердили, что злоумышленники действительно создают многоархитектурные приложения, так что их код будет изначально работать в системах M1. Вредоносное приложение «GoSearch22» может быть первым примером такого изначально совместимого с M1 кода.
Так что хакеры определенно начали перекомпилировать вредоносное ПО для компьютеров Mac M1.
Не секрет, что вредоносные программы могут влиять на компьютеры Mac , и этот пример подтверждает это мнение. В своем сообщении в блоге исследователь безопасности подробно останавливается на технических тонкостях выявления вредоносного ПО, встроенного в чип ноутбука Apple M1.
Вот как это работает
Мы не будем утомлять вас подробностями, кроме как сказать, что он использовал файловые инструменты в macOS для исследования двоичных файлов вредоносных программ, пока не смог идентифицировать собственный код M1 в одном из них. Идентифицированный как вредоносный, GoSearch22 стал первым вредоносным ПО, действительно оптимизированным для кремниевых компьютеров Mac Apple.
Учитывая, что «GoSearch22» – это разновидность довольно коварного рекламного ПО «Pirrit», оно определенно не так безобидно, как может показаться на первый взгляд. По словам Уордла, именно этот штамм рекламного ПО «Pirrit» продолжает использоваться в качестве агента запуска.
Следует ли мне беспокоиться?
Он также устанавливает себя как вредоносное расширение Safari, продолжил он.
Во-первых (что неудивительно), это показывает, что вредоносный код продолжает развиваться в прямом ответе на изменения оборудования и программного обеспечения, поступающие из Купертино. Распространение нативных двоичных файлов arm64 дает множество преимуществ, так почему же авторы вредоносных программ сопротивляются?
Другой повод для беспокойства, по мнению исследователя безопасности, может заключаться в том, что текущие антивирусные движки борются с собственным кремниевым кодом Apple. С другой стороны, Уордл подчеркивает важность мер безопасности, встроенных в macOS.
Поскольку Apple отозвала сертификат, вредоносное приложение больше не будет работать в macOS (если, конечно, злоумышленники не переподписывают его другим сертификатом).
Ваш ключевой вывод должен заключаться в том, что создатели вредоносных программ начали компилировать свой код для работы на новейшем оборудовании Mac от Apple. И это может оказаться проблематичным для некоторых людей, потому что защитные инструменты безопасности в настоящее время не могут обнаружить бинарные файлы кремния Apple.