科技在与时俱进,设备系统在不断升级换代,恶意软件也在“追赶变化”。在苹果发布M1 SoC三个月后,黑客也开发了首个针对M1内部芯片的恶意MacOS应用程序——GoSearch22。GoSearch22可在装有M1芯片的本机上运行。
Apple M1于11月推出,是Apple设计的首款基于ARM的芯片,现已成为其Mac设备的中央处理单元。从2006年开始,Apple设备在Intel处理器上运行。但是去年,苹果为Mac系列推出了自己的ARM硅处理器,以期实现更好的技术集成,速度和效率。具体来说,M1支持ARM64指令集体系结构。
M1已部署在最新一代的Apple MacBook Air,Mac mini和MacBook Pro设备中。但是,许多应用程序仍可以在较早的Apple CPU上使用的较旧的Intel CPU x86_64指令上运行。
研究人员帕特里克·沃德尔表示,虽然向苹果芯片迭代需要开发人员构建新版本的应用程序以确保更好的性能和兼容性,但恶意软件作者现在正在采取类似步骤来构建能够在Apple的新M1系统上本地执行的恶意软件。
这个名为GoSearch22的Safari广告软件程序最初被编写为在Intel x86芯片上运行,但后续被转移到ARM的M1芯片上运行。根据2020年12月27日上传到VirusTotal的样本,这类流氓扩展程序是Pirrit广告恶意软件的变体,于2020年11月23日首次在野外出现。
Wardle认为:“今天,我们确认恶意攻击者的确在设计多体系结构应用程序,这类恶意代码将在M1系统上进行本地运行。恶意的GoSearch22应用程序可能是这种本地M1兼容代码的第一个案例。”
M1 Macs可以借助Rosetta动态二进制翻译器运行x86软件,转换为本机ARM64指令,以便较旧的应用程序可以在M1系统上无缝运行。如果可执行文件仅包含Intel指令,则macOS会自动启动Rosetta并开始翻译过程。然后,系统启动翻译后的可执行文件来代替原始文件。
该恶意程序可以追溯到2016年,Pirrit是一种持久性的Mac广告软件,向用户推送入侵性的和欺骗性的广告,当用户点击时,就会下载、安装流氓软件,并暗中收集用户信息。
实际上变体后, GoSearch22广告软件具有高度混淆性,可以伪装成合法的Safari浏览器扩展程序,默默收集浏览数据并投放大量广告,例如横幅和弹出窗口,包括一些链接到可疑网站并分发其他恶意软件的广告内容。
苹果公司已经吊销了Pirrit制造商使用的开发人员证书,这将阻止用户安装它。这意味着该应用程序将不再在macOS上运行,除非攻击者使用另一证书重新对其进行签名。
该恶意程序直接反映了跟进两种硬件变化的过程,并在此基础上进一步衍生。沃德尔警告说,“(静态)分析工具或杀毒引擎可能会与ARM64二进制文件发生冲突,与Intel x86_64版本相比,知名的安全软件检测结果准确性下降了15%”
GoSearch22的恶意软件可能不是全新的或高风险的,但是这才是值得人们关注的,因为这或许只是一个开始,未来是否会出现新的与M1兼容的恶意软件还未可知,如果出现了更多的变体,那么就将会产生更大的危害。