| 17 февраля 2021 г. — 11:52 PT
Первые компьютеры Mac на базе Apple Silicon появились всего несколько месяцев назад, и значительная часть популярных приложений была обновлена с поддержкой M1 MacBook Air, Pro и Mac mini. Вскоре после этого было обнаружено то, что выглядит как первое вредоносное ПО, оптимизированное для Apple Silicon.
Обнаружение было сделано исследователем безопасности и основателем Objective-See Патриком Уордлом. В очень подробном анализе Патрик рассказал, как ему удалось найти новое вредоносное ПО, специфичное для Apple Silicon, и почему это важно.
Работая над перестройкой своих инструментов для достижения нативной совместимости с M1, я размышлял о возможности того, что злоумышленники тратят свое время аналогичным образом. В конечном счете, вредоносное ПО — это просто программное обеспечение (хоть и вредоносное), поэтому я полагал, что со временем мы увидим вредоносное ПО, созданное для нативной работы на новых системах M1 от Apple.
Прежде чем отправиться на поиски нативного вредоносного ПО для M1, нам нужно ответить на вопрос: «Как мы можем определить, была ли программа скомпилирована нативно для M1?» Ну, короче говоря, она будет содержать код arm64! Хорошо, и как нам это выяснить?
Один из простых способов — использовать встроенный инструмент macOS file (или lipo -archs). Используя этот инструмент, мы можем проверить двоичный файл, чтобы узнать, содержит ли он скомпилированный код arm64.
Патрик использовал бесплатную учетную запись исследователя на VirusTotal, чтобы начать свои поиски. Важным аспектом для определения того, действительно ли было вредоносное ПО, оптимизированное для Apple Silicon, было исключение универсальных приложений, которые на самом деле являются двоичными файлами iOS.
Сузив круг поиска, Патрик обнаружил «GoSearch22» как интересный образец.
После прохождения нескольких дополнительных проверок Патрик смог подтвердить, что это вредоносное ПО, оптимизированное для Mac на M1.
Ура, нам удалось найти программу для macOS, содержащую нативный код M1 (arm64)… которая обнаружена как вредоносная! Это подтверждает, что авторы вредоносного/рекламного ПО действительно работают над тем, чтобы их вредоносные творения были нативно совместимы с новейшим оборудованием Apple. 🥲
Также важно отметить, что GoSearch22 действительно был подписан идентификатором разработчика Apple (hongsheng yan) 23 ноября 2020 г.:
Патрик отмечает, что Apple отозвала сертификат на данный момент, поэтому неизвестно, нотариально ли был заверен код. Но даже так…
Что мы знаем, так это то, что этот двоичный файл был обнаружен в дикой природе (и отправлен пользователем через инструмент Objective-See)… так что, был ли он нотариально заверен или нет, пользователи macOS были заражены.
Дальнейшее изучение позволило Патрику выяснить, что оптимизированное для Apple Silicon вредоносное ПО GoSearch22 является вариантом «распространенного, но весьма коварного рекламного ПО Pirrit». А конкретно этот новый экземпляр выглядит так, будто он нацелен на «сохранение агента запуска» и «установку себя в качестве вредоносного расширения Safari».
Что еще более примечательно, GoSearch22, оптимизированный для Apple Silicon, впервые появился 27 декабря, всего через несколько недель после того, как были выпущены первые Mac на M1. И Патрик отмечает, что пользователь фактически отправил его в VirusTotal с помощью одного из инструментов Objective-See.
Почему это важно
В заключение Патрик делится несколькими мыслями о том, почему вредоносное ПО, оптимизированное для Apple Silicon, имеет значение. Во-первых, это реальное доказательство того, как быстро эволюционирует вредоносный код в ответ на новое оборудование и программное обеспечение от Apple.
Но помимо этого, более важное понимание состоит в том, что текущие инструменты могут быть не готовы к защите от вредоносного ПО для macOS, ориентированного на arm64:
Во-вторых, и это более тревожно, (статические) инструменты анализа или антивирусные программы могут испытывать трудности с двоичными файлами arm64.
Ознакомьтесь с полным техническим постом Патрика на Objective-See здесь.