首個針對蘋果M1晶片的惡意軟體來了!

Editor發表於2021-02-19

近日研究人員Patrick Wardle發現一款專門為蘋果M1晶片定製執行的惡意軟體,並在其釋出的一份報告中,詳細解釋了惡意軟體如何開始被改編和重新編譯,以便在M1晶片上原生執行。


Wardle使用VirusTotal的一個研究人員帳戶來查詢M1-本機惡意軟體的例項,並找到一個副檔名為“GoSearch22”的應用程式。該應用程式捆綁包的Info.plist檔案證實,這確實是一個macOS應用程式,而不是iOS程式。


值得注意的是該應用程式已於2020年11月用蘋果開發人員ID hongsheng_yan簽名,但暫不清楚蘋果是否對它進行了公證,因為蘋果此後撤銷了其證書。撤銷該證書後,此版本的GoSearch22將不再在macOS上執行,除非它的作者設法使用另一個開發者金鑰對其進行簽名。


因此可以推測,在證書撤銷之前,這個惡意軟體應用確實在野外感染了真正的MacOS使用者。


該惡意軟體最初是為了在x86晶片上執行而編寫的,是Pirrit Mac廣告系列軟體中的知名成員。Pirrit 是最古老和最活躍的Mac廣告系列軟體之一,以不斷變化逃避檢測而著稱。


“GoSearch22”廣告軟體表現為一個正版的Safari瀏覽器擴充套件,但會收集使用者資料,並提供大量的廣告,如橫幅和彈出視窗,包括一些連結到惡意網站的廣告,以擴散更多的惡意軟體。


Wardle指出,由於針對M1晶片的惡意軟體仍處於早期階段,因此防毒軟體並不像x86版本上那樣容易檢測到它,防毒引擎等防禦工具也在努力處理修改後的檔案。


用於檢測M1晶片上惡意軟體威脅的簽名還沒有得到實質性的觀察,所以目前能夠查殺它的安全工具還沒有出現。


更多細節可訪問研究人員部落格:

https://objective-see.com/blog/blog_0x62.html




首個針對蘋果M1晶片的惡意軟體來了!


公眾號ID:ikanxue

官方微博:看雪安全

商務合作:wsc@kanxue.com


相關文章