Первые компьютеры Apple Silicon Mac были выпущены всего несколько месяцев назад, и значительная часть популярных приложений была обновлена с встроенной поддержкой M1 MacBook Air, Pro и Mac mini. Недалеко от него было обнаружено первое вредоносное ПО, оптимизированное для Apple Silicon.
Открытие было сделано исследователем безопасности и основателем Objective-See Патриком Уордлом. В очень подробной деконструкции Патрик рассказал, как он искал новое вредоносное ПО для Apple Silicon и почему это важно.
Когда я работал над восстановлением своих инструментов для достижения нативной совместимости с M1, я размышлял о том, что авторы вредоносных программ также проводят свое время аналогичным образом. В конце концов, вредоносное ПО — это просто программное обеспечение (хотя и вредоносное), поэтому я решил, что имеет смысл (в конечном итоге) увидеть вредоносное ПО, созданное для запуска в новых системах Apple M1.
Прежде чем отправиться на поиски нативной вредоносной программы M1, мы должны ответить на вопрос: «Как мы можем определить, была ли программа скомпилирована для M1 изначально?» Короче, код arm64 будет! Хорошо, а как мы в этом убедимся?
Один простой способ — использовать встроенный в macOS файловый инструмент (или липоархивы). Используя этот инструмент, мы можем проверить двоичный файл, чтобы увидеть, содержит ли он скомпилированный код arm64.
Патрик в конечном итоге использовал бесплатную учетную запись исследователя на VirusTotal, чтобы начать свою охоту. Важным аспектом определения наличия действительно оптимизированного для Apple Silicon вредоносного ПО было отсеивание универсальных приложений, которые на самом деле являются двоичными файлами iOS.
Сузив круг вопросов, Патрик нашел «GoSearch22» интересной находкой.
Пройдя еще несколько проверок, Патрик смог подтвердить, что это вредоносная программа, оптимизированная для компьютеров Mac M1.
Ура, так что нам удалось найти программу для macOS, содержащую собственный код M1 (arm64)… который определяется как вредоносный! Это подтверждает, что авторы вредоносного / рекламного ПО действительно работают над тем, чтобы их вредоносные творения были изначально совместимы с новейшим оборудованием Apple. ?
Также важно отметить, что GoSearch22 действительно был подписан с идентификатором разработчика Apple (hongsheng yan) 23 ноября 2020 г .:
Патрик отмечает, что Apple отозвала сертификат на этом этапе, поэтому неизвестно, заверила ли Apple код нотариально. Но даже так…
Что мы действительно знаем, так это то, что этот двоичный файл был обнаружен в дикой природе (и отправлен пользователем с помощью инструмента Objective-See) … поэтому, независимо от того, был он нотариально заверен или нет, пользователи macOS были заражены.
При дальнейшем раскопках Патрик смог узнать, что оптимизированное вредоносное ПО GoSearch22 Apple Silicon является разновидностью «распространенного, но довольно коварного рекламного ПО Pirrit». И, в частности, этот новый экземпляр выглядит так, будто он нацелен на «сохранение агента запуска» и «установку себя как вредоносное расширение Safari».
Более того, GoSearch22, оптимизированный для Apple Silicon, впервые появился 27 декабря, всего через несколько недель после того, как были доступны первые компьютеры Mac M1. Патрик отмечает, что пользователь фактически отправил его в VirusTotal с помощью одного из инструментов Objective-See.
Почему это важно
В заключение Патрик поделится некоторыми мыслями о том, почему оптимизированное для Apple Silicon вредоносное ПО имеет значение. Во-первых, это реальное доказательство того, насколько быстро вредоносный код развивается в ответ на новое оборудование и программное обеспечение от Apple.
Но помимо этого более важно осознать, что существующие инструменты могут не справиться с задачей защиты от вредоносного ПО, ориентированного на arm64 для macOS:
Во-вторых, что более тревожно, инструменты (статического) анализа или антивирусные движки могут бороться с двоичными файлами arm64.
Ознакомьтесь с полной технической публикацией Патрика о Objective-See здесь.
