首個針對蘋果M1晶片的惡意軟體來了！

近日研究人員Patrick Wardle發現一款專門為蘋果M1晶片定製執行的惡意軟體，並在其釋出的一份報告中，詳細解釋了惡意軟體如何開始被改編和重新編譯，以便在M1晶片上原生執行。

Wardle使用VirusTotal的一個研究人員帳戶來查詢M1-本機惡意軟體的例項，並找到一個副檔名為“GoSearch22”的應用程式。該應用程式捆綁包的Info.plist檔案證實，這確實是一個macOS應用程式，而不是iOS程式。

值得注意的是該應用程式已於2020年11月用蘋果開發人員ID hongsheng_yan簽名，但暫不清楚蘋果是否對它進行了公證，因為蘋果此後撤銷了其證書。撤銷該證書後，此版本的GoSearch22將不再在macOS上執行，除非它的作者設法使用另一個開發者金鑰對其進行簽名。

因此可以推測，在證書撤銷之前，這個惡意軟體應用確實在野外感染了真正的MacOS使用者。

該惡意軟體最初是為了在x86晶片上執行而編寫的，是Pirrit Mac廣告系列軟體中的知名成員。Pirrit 是最古老和最活躍的Mac廣告系列軟體之一，以不斷變化逃避檢測而著稱。

“GoSearch22”廣告軟體表現為一個正版的Safari瀏覽器擴充套件，但會收集使用者資料，並提供大量的廣告，如橫幅和彈出視窗，包括一些連結到惡意網站的廣告，以擴散更多的惡意軟體。

Wardle指出，由於針對M1晶片的惡意軟體仍處於早期階段，因此防毒軟體並不像x86版本上那樣容易檢測到它，防毒引擎等防禦工具也在努力處理修改後的檔案。

用於檢測M1晶片上惡意軟體威脅的簽名還沒有得到實質性的觀察，所以目前能夠查殺它的安全工具還沒有出現。

更多細節可訪問研究人員部落格：

公眾號ID：ikanxue

官方微博：看雪安全

商務合作：wsc@kanxue.com