Вариант коварного рекламного ПО ‘Pirrit’, не обнаруживается современными антивирусными системами
Первая вредоносная программа, оптимизированная для кремниевых компьютеров Apple Mac, была обнаружена в природе. Она поражает владельцев новейших компьютеров Apple, работающих на чипе M1
Эта новая нативная вредоносная программа была впервые обнаружена в дикой природе 27 декабря, через несколько недель после начала продаж первых компьютеров M1 Mac. Поэтому вполне возможно, что некоторые люди были заражены
Бывший исследователь безопасности АНБ Патрик Уордл, пишет в своем блоге Objective-See:
Сегодня мы подтвердили, что злоумышленники действительно разрабатывают мультиархитектурные приложения, чтобы их код работал на системах M1. Вредоносное приложение ‘GoSearch22’ может быть первым примером такого изначально совместимого с M1 кода
Итак, хакеры определенно начали перекомпилировать вредоносное ПО для M1 Mac
Не секрет, что вредоносные программы могут поражать компьютеры Mac, и данный пример подтверждает эту мысль. В своем блоге исследователь безопасности углубляется в технические аспекты идентификации вредоносных программ, созданных для выполнения на чипе M1 ноутбуков Apple
Вот как это работает
Мы не будем утомлять вас подробностями и скажем лишь, что он использовал файловые инструменты в macOS для изучения двоичных файлов вредоносных программ, пока не смог идентифицировать в одном из них собственный код M1. Идентифицированный как вредоносный, ‘GoSearch22’ стал первой вредоносной программой, действительно оптимизированной для компьютеров Apple silicon Mac
Похожие: Бесплатное антивирусное программное обеспечение для вашего Mac
Учитывая, что ‘GoSearch22’ является разновидностью довольно коварной рекламной программы ‘Pirrit’, она определенно не так безобидна, как может показаться на первый взгляд. По словам Уордла, этот конкретный штамм рекламного ПО ‘Pirrit’ сохраняется в качестве агента запуска
Стоит ли беспокоиться?
Он также устанавливается как вредоносное расширение Safari, продолжает он
Во-первых (и это неудивительно), это иллюстрация того, что вредоносный код продолжает развиваться в прямой реакции на аппаратные и программные изменения, выходящие из Купертино. Существует огромное количество преимуществ распространения родных двоичных файлов arm64, так почему же авторы вредоносных программ должны сопротивляться этому?
Еще одним поводом для беспокойства, по мнению исследователя безопасности, может стать тот факт, что существующие антивирусные системы не справляются с родным кремниевым кодом Apple. С другой стороны, Уордл подчеркивает важность мер безопасности, встроенных в macOS
Поскольку Apple отозвала сертификат, вредоносное приложение больше не будет работать на macOS (если, конечно, злоумышленники не подпишут его другим сертификатом)
Основным выводом для вас должно стать то, что создатели вредоносных программ начали компилировать свой код для запуска на новейшем оборудовании Apple Mac. И это может оказаться проблематичным для некоторых людей, поскольку защитные инструменты безопасности в настоящее время с трудом обнаруживают двоичные файлы Apple silicon
Комментировать