Первое вредоносное ПО для Apple Silicon M1 обнаружено в дикой природе

Первое вредоносное ПО для компьютеров Mac Apple Silicon M1 было обнаружено независимым исследователем безопасности Патриком Уордлом.

Бывший исследователь АНБ Патрик Уордл недавно похвалил Apple за безопасность процессора M1, но даже при этом обнаружил доказательства того, что хакеры перекомпилировали для него вредоносные программы.

Уордл обнаружил существование GoSearch22.app, версии M1 давнего вируса Pirrit. Эта версия, похоже, была нацелена на показ рекламы и сбор данных из браузера пользователя.

«Сегодня мы подтвердили, что злоумышленники действительно создают многоархитектурные приложения, так что их код будет изначально работать в системах M1», — говорит Уордл в своем блоге. «Вредоносное приложение GoSearch22 может быть первым примером такого изначально совместимого с M1 кода».

«Создание таких приложений примечательно по двум основным причинам», — продолжает он. «Во-первых (и неудивительно), это показывает, что вредоносный код продолжает развиваться в прямом ответе на изменения как в оборудовании, так и в программном обеспечении, исходящие от Купертино».

«Есть множество [sic] преимущества собственного распространения собственных двоичных файлов arm64, так почему же авторы вредоносных программ должны сопротивляться? — продолжает он. — Во-вторых, что еще более тревожно, инструменты (статического) анализа или антивирусные движки могут столкнуться [to detect this]. »

Уордл говорит, что ряд современных антивирусных систем, которые могли обнаружить версии Intel вируса Pirrit, не смогли идентифицировать версию Apple Silicon M1.

Apple отозвала сертификат разработчика, поэтому его нельзя запустить. Уордл говорит, что это означает, что есть определенные вопросы, касающиеся его распространения, на которые больше нельзя ответить.

«Неизвестно, заверила ли Apple код в нотариальном порядке», — отметил Уордл, имея в виду, отправил ли разработчик его в Apple или работал над обеспечением безопасности компании. «Мы не можем ответить на этот вопрос, потому что Apple отозвала сертификат».

«Что мы действительно знаем, — продолжает он, — поскольку этот двоичный файл был обнаружен в дикой природе … независимо от того, было ли оно нотариально заверено или нет, пользователи macOS были заражены».