Русский
Русский
English
Статистика
Реклама

Злоумышленники начали активно разрабатывать нативные зловреды под Apple M1. Первый пошел


Один из доводов маководов в пользу своей системы то, что под нее крайне мало зловредного ПО. А то, что есть, нужно запускать едва ли не вручную, с обходом всех систем защиты, поэтому опасности большинство зловредов под Mac не представляют. Но MacOS становится все популярнее, а значит, и злоумышленники активизируются. Тем более, что большинство пользователей MacOS имеют банковские счета и деньги на них. Так что с них есть что взять.

Так, если раньше доля MacOS составляла 6,5% (примерно 10 лет назад), то сейчас это уже пятая часть рынка, 20%. Соответственно, уже есть смысл создавать зловредное ПО, поскольку пользователей у MacOS миллионы. Этим киберпреступники сейчас и занялись.

Более того, Apple выпустила несколько систем на основе нового чипа M1, так что злоумышленники активно принялись изучать этот чип и его возможности. Первые результаты уже появились. Специалист по информационной безопасности Патрик Уордл на днях опубликовал результаты изучения зловредного расширения для Safari, заточенного исключительно под M1. Это расширение входит в семейство Adware под Mac, которое называется Pirrit Mac.

Apple M1, malware и пользователи


Как известно, ISA у процессоров ARM очень сильно отличается от того, что есть у традиционных x86 процессоров. Прежде всего, это означает необходимость использования эмулятора для запуска x86-софта на системах с ARM-процессором. Разработчики Apple, прекрасно понимая невозможность массовой миграции всего ПО с x86 на M1, создали эмулятор Rosetta 2.

Многие нативные программы работают под M1 чуть быстрее, чем обычный софт на эмуляторе, но разница не настолько чувствительна, чтобы смутить пользователя.

Но злоумышленники, которые разрабатывают зловреды под M1, решили, что нативные приложения тоже нужны, ведь в этом случае пользователь не заметит даже задержки во времени. Все работает быстро, система не подтормаживает, а значит, заподозрить выполнение сторонних операций собственным компьютером сложно.

Что это за ПО и как его обнаружили?


Специалист по информационной безопасности Патрик Уордл использовал учетную запись исследователя на VirusTotal для поиска экземпляров нативного для M1 вредоносного ПО. Он выполнил вот такой запрос:

type: macho tag: arm tag: 64bits tag: multi-arch tag: signed positives: 2 +

Это означает нечто вроде подписанные мультиархитектурные исполняемые файлы Apple, которые включают 64-битный код ARM и были замечены как минимум двумя антивирусными системами.

Уордл провел достаточно масштабную работу по поиску зловредов под М1. В конце концов он нашел расширение Safari под названием GoSearch22. Файл Info.plist пакета приложений показал, что это действительно приложение для MacOS (а не для iOS).

Зловред был подписан сертификатом разработчика ID hongsheng_yan в ноябре 2020 года. Серфикат уже отозван, но точно неизвестно, почему Apple это сделала возможно, компания обнаружила неправомерные действия разработчика или использование его сертификата в интересах злоумышленников.

Можно предположить, что ID отозвали потому, что расширение все же помогло киберпреступникам инфицировать системы жертв. Кто-то заметил проблему, и представители компании приняли меры.

Так а что делает GoSearch22?


Как и говорилось выше, этот зловред член семейства Pirrit Mac. Это очень древнее семейство, если можно так выразиться. Изначально его представители работали под Windows, но потом были портированы под Mac впервые это случилось в 2017 году.

Обнаруженное зловредное расширение устанавливало троян, которое отображает рекламу от злоумышленников. Рекламой забивается буквально вся страница. Плюс заменяется поисковая страница, может устанавливаться пара каких-нибудь бонусов.

Pirrit оснащается системой обхода антивирусных приложений, и это помогает зловреду скрытно продолжать свое темное дело. А еще Pirrit ищет и удаляет приложения и расширения браузера, которые могут ему мешать. Более того, он добивается получения root-доступа. Код вируса обфусцирован, чтобы еще больше усложнить жизнь пользователю и специалистам по ИБ.

Без сомнения, в ближайшем будущем мы увидим новые экземпляры подобного ПО, нативного для М1. GoSearch22 это только начало.

Источник: habr.com
К списку статей
Опубликовано: 18.02.2021 20:14:00
0

Сейчас читают

Комментариев (0)
Имя
Электронная почта

Блог компании selectel

Информационная безопасность

Исследования и прогнозы в it

Софт

Процессоры

M1

Зловреды

Категории

Последние комментарии

  • Имя: Макс
    24.08.2022 | 11:28
    Я разраб в IT компании, работаю на арбитражную команду. Мы работаем с приламы и сайтами, при работе замечаются постоянные баны и лаги. Пацаны посоветовали сервис по анализу исходного кода,https://app Подробнее..
  • Имя: 9055410337
    20.08.2022 | 17:41
    поможем пишите в телеграм Подробнее..
  • Имя: sabbat
    17.08.2022 | 20:42
    Охренеть.. это просто шикарная статья, феноменально круто. Большое спасибо за разбор! Надеюсь как-нибудь с тобой связаться для обсуждений чего-либо) Подробнее..
  • Имя: Мария
    09.08.2022 | 14:44
    Добрый день. Если обладаете такой информацией, то подскажите, пожалуйста, где можно найти много-много материала по Yggdrasil и его уязвимостях для написания диплома? Благодарю. Подробнее..
© 2006-2024, personeltest.ru