Mac 惡意軟件針對 Apple 內部 M1 處理器

分發惡意軟件的應用程序專門針對Apple的最新M1 SoC，該產品已在其最新一代的MacBook Air，MacBook Pro和Mac mini設備中使用。

在蘋果推出新的M1片上系統(SoC)三個月后，網絡犯罪分子已經開發出可能是針對該移動巨頭的第一個內部芯片的第一個惡意macOS應用程序。

最近發現的名為GoSearch22的惡意應用程序在M1上本機運行，這意味著它執行為M1設備的自然、基本操作模式編寫的軟件。此處的主要區別在于，該應用程序包括專門為在基于ARM的M1處理器上運行而設計的代碼，而不是僅由Apple先前使用的Intel x86處理器運行。

該應用程序下載Pirnt的變體，它是一種廣告軟件。針對Mac的廣告軟件會在用戶計算機上顯示令人討厭的廣告，這對Apple設備來說是持續存在的普遍威脅。從那以后，Apple撤銷了該惡意應用程序的證書。

蘋果專業研究人員 Patrick Wardle 在星期三說：“蘋果的新型M1系統提供了無數的好處，并且本機編譯的arm64代碼運行得非常快。” “今天，我們強調了一個事實，即惡意軟件作者現在已經加入了開發人員的隊伍……（重新）將其代碼編譯為ARM64，以獲得與Apple最新硬件的本地二進制兼容性。”

什么是Apple M1 SoC？

Apple M1于11月推出，是Apple設計的首款基于ARM的芯片，現已成為其Mac設備的中央處理器。

從2006年開始，Apple設備在Intel處理器上運行。但去年，蘋果為其Mac系列推出了自己的基于ARM的硅處理器，以努力實現更好的技術集成、速度和效率。

具體來說，M1支持ARM64指令集體系結構。

M1已部署在最新一代的Apple MacBook Air，Mac mini和MacBook Pro設備上 。但是，許多應用程序仍可以在較早的Apple CPU上使用的較舊的Intel CPU x86_64指令上運行。

“M1本地代碼”是什么意思？

為幫助其應用程序針對較舊的Intel指令集的應用程序開發人員，Apple發布了Rosetta，該過程可將Intel的x86_64指令轉換為本機ARM64指令-以便較舊的應用程序可以在M1系統上無縫運行。

根據Apple的說法，如果可執行文件僅包含Intel指令，則macOS會自動啟動Rosetta并開始翻譯過程。然后，系統啟動翻譯后的可執行文件來代替原始文件。

但是，非ARM64代碼不能在本地M1系統上運行，需要首先進行轉換-這可能導致加載時間變慢。這意味著希望他們的應用程序在M1上快速本機運行而不是經過Rosetta流程的開發人員必須重新編譯他們的應用程序。惡意軟件作者也是如此。

“基于本機（ARM64）應用程序運行速度更快（因為它們避免了運行時轉換的需要），以及Rosetta（盡管令人驚嘆）存在一些錯誤（可能會阻止某些較舊的應用程序運行）這一事實，開發人員是明智的以（重新）編譯他們的M1應用程序。” Wardle說。

為了使二進制本機可以在這些M1系統上運行，必須將其編譯為Mach-O通用二進制。Mach-O是Mac操作系統二進制文件的本機可執行文件格式，也被稱為“FAT二進制文件”，這意味著它包含多個指令集的本機通用代碼。這意味著它可以在多種處理器類型上運行-因此Mach-0二進制文件同時支持ARM64和x86_64（而不是僅x86_64）指令集。

GoSearch22應用

Wardle通過在VirusTotal上進行搜索找到了這樣一個二進制文件（使用搜索查詢類型：macho標簽：arm標簽：64bits標簽：multi-arch標簽：signed positives：2+）。在查看VirusTotal結果后，Wardle找到了GoSearch22，這是一個完整的macOS應用程序捆綁包，可以在M1系統上本地運行。GoSearch22于11月與Apple開發人員ID（hongsheng yan）簽署。

Wardle說：“這證實了惡意軟件/廣告軟件作者的確在努力確保其惡意軟件與Apple最新的硬件本地兼容。”

經過進一步檢查，Wardle發現GoSearch22執行了Pirrit，該Pirrit一旦啟動，便將自己安裝為惡意Safari擴展。它在受感染的Mac計算機上創建代理服務器，并將廣告注入網頁。

Pirrit的歷史可以追溯到2016年，但多年來一直在不斷發展。2016年，研究人員還將Mac OS X的Pirrit廣告軟件的變體鏈接到以色列的在線營銷公司TargetingEdge，該公司仍處于隱身模式。

Wardle說：“我們確實知道這種二進制文件發現的……因此，無論是否經過公證，macOS用戶都被感染了。”

未來的M1二進制文件

在將兩個二進制文件（ARM64和x86_64）分別上載到VirusTotal并啟動了兩者的掃描之后，Wardle發現與獨立的x86_64版本相比，對ARM64版本的檢測下降了15％。這意味著幾個防病毒引擎無法標記此二進制文件。

隨著越來越多的網絡犯罪分子將注意力集中在針對M1的ARM64二進制文件上，安全檢測器正在努力跟上這一事實，這可能會在未來引發安全問題。

他說：“盡管x86_64和ARM64代碼在邏輯上看起來完全相同（如預期的那樣），但我們證明防御性安全工具可能難以檢測到ARM64二進制文件。”

以Mac為目標的網絡犯罪創新困擾蘋果。

惡意應用程序揭示了網絡犯罪分子的快速創新。

去年12月，研究人員發現了針對半島電視臺記者的間諜活動中使用的zer0單擊Apple零日漏洞。7月，發現了一個名為EvilQuest的新惡意軟件樣本，研究人員稱該樣本可能正在引入一類新的Mac惡意軟件。

8月，發現針對Mac用戶的一項活動傳播了XCSSET惡意軟件套件，該套件能夠劫持Safari Web瀏覽器并注入各種JavaScript有效載荷，這些有效載荷可以竊取密碼，財務數據和個人信息，部署勒索軟件等。

在下面，Wardle與Threatpost討論了網絡罪犯濫用Apple技術，開發惡意軟件和創建“強大” iOS bug的最新策略。