Первое вредоносное ПО для Apple Silicon Mac обнаружено в дикой природе


Менее чем через четыре месяца после анонса Mac Apple Silicon M1 первое вредоносное ПО для новых чипов уже было обнаружено. Благодаря подробному обзору Objective-See у нас есть информация об этой новой вредоносной программе, которая была специально создана и оптимизирована для Apple Silicon.

Патрик Уордл, исследователь Objective-See, обнаружил GoSearch22 в ходе поиска вредоносного ПО, оптимизированного для Apple Silicon. Он нашел его через VirusTotal, веб-сайт, используемый для анализа вредоносных программ и обмена ими с сообществом специалистов по безопасности для исследований.

Apple Silicon Mac

Вредоносное ПО Apple Silicon уже распространяется в дикой природе

«GoSearch22» был фактически отправлен в VirusTotal 27 декабря, что показывает, как быстро было написано вредоносное ПО для новых чипов Apple. Патрик умел подтверждать с помощью различных проверок, что код, использованный во вредоносной программе, был написан специально для M1:

Ура, так что нам удалось найти программу для macOS, содержащую собственный код M1 (arm64)… который определяется как вредоносный! Это подтверждает, что авторы вредоносного / рекламного ПО действительно работают над тем, чтобы их вредоносные творения были изначально совместимы с новейшим оборудованием Apple. 🥲

Также важно отметить, что GoSearch22 действительно был подписан с идентификатором разработчика Apple (hongsheng yan) 23 ноября 2020 г.

Важно отметить, что с тех пор Apple отозвала сертификат для этого идентификатора разработчика Apple, поэтому невозможно узнать, был ли код нотариально заверен Apple. Поскольку сертификат был отозван, код больше не будет исполняться в macOS.

Дальнейшее расследование в исходном сообщении блога показывает, что GoSearch22 – это вариант рекламного ПО Pirrit. Это рекламное ПО настраивается на запуск, когда пользователи входят в macOS, а также добавляется как расширение Safari.

Сообщение Патрика Objective-See заканчивается на заметке о том, что это вредоносное ПО демонстрирует, насколько быстро вредоносный код развивается с новым оборудованием и программным обеспечением, выпускаемым Apple. Это также показывает, что инструменты анализа или антивирусное программное обеспечение в настоящее время борются с двоичными файлами arm64 и должны будут развиваться, чтобы не отставать от обнаружения новых вредоносных программ.

Похожие записи

Добавить комментарий