Первые компьютеры Apple Silicon Mac были выпущены всего несколько месяцев назад, и значительная часть популярных приложений была обновлена с встроенной поддержкой M1 MacBook Air, Pro и Mac mini. Недалеко от него было обнаружено первое вредоносное ПО, оптимизированное для Apple Silicon.
Открытие было сделано исследователем безопасности и основателем Objective-See Патриком Уордлом. В очень подробной деконструкции Патрик рассказал, как он искал новое вредоносное ПО для Apple Silicon и почему это важно.
Когда я работал над восстановлением своих инструментов для достижения нативной совместимости с M1, я размышлял о том, что авторы вредоносных программ также проводят свое время аналогичным образом. В конце концов, вредоносное ПО - это просто программное обеспечение (хотя и вредоносное), поэтому я решил, что имеет смысл (в конечном итоге) увидеть вредоносное ПО, созданное для запуска в новых системах Apple M1.
Прежде чем отправиться на поиски нативной вредоносной программы M1, мы должны ответить на вопрос: «Как мы можем определить, была ли программа скомпилирована для M1 изначально?» Короче, код arm64 будет! Хорошо, а как мы в этом убедимся?
Один простой способ - использовать встроенный в macOS файловый инструмент (или липоархивы). Используя этот инструмент, мы можем проверить двоичный файл, чтобы увидеть, содержит ли он скомпилированный код arm64.
Пройдя несколько проверок, Патрик смог подтвердить, что это вредоносная программа, оптимизированная для компьютеров Mac M1.
Ура, так что нам удалось найти программу для macOS, содержащую собственный код M1 (arm64)… который определяется как вредоносный! Это подтверждает, что авторы вредоносного / рекламного ПО действительно работают над тем, чтобы их вредоносные творения были изначально совместимы с новейшим оборудованием Apple.
Также важно отметить, что GoSearch22 действительно был подписан с идентификатором разработчика Apple (hongsheng yan) 23 ноября 2020 г .
Патрик отмечает, что Apple отозвала сертификат на этом этапе, поэтому неизвестно, заверила ли Apple код нотариально. Но даже так…
Что мы действительно знаем, так это то, что этот двоичный файл был обнаружен в дикой природе (и отправлен пользователем с помощью инструмента Objective-See) поэтому, независимо от того, был он нотариально заверен или нет, пользователи macOS были заражены.
В заключение Патрик поделится некоторыми мыслями о том, почему оптимизированное для Apple Silicon вредоносное ПО имеет значение.
Во-первых, это реальное доказательство того, насколько быстро вредоносный код развивается в ответ на новое оборудование и программное обеспечение от Apple.
Во-вторых, что более тревожно, инструменты (статического) анализа или антивирусные движки могут бороться с двоичными файлами arm64.