关注网络与数据安全

忘记密码
“游侠安全网”创建了网络安全从业者QQ大群(群号:389710688) ,欢迎各位同仁加入!有其它问题,请联系站长“网路游侠”,QQ:55984512


安全研究人员发现首个专门针对Apple Silicon M1的恶意软件

2021-02-17 23:35 推荐: 浏览: 52字号:

摘要: 独立安全研究人员Patrick Wardle发现了第一个Apple Silicon M1 Mac原生的恶意软件。前美国国家安全局研究员帕特里克-沃德尔(Patrick Wardle)最近对苹果M1处理器的安全性大加赞赏,但即便如此,现在也发现了黑客为其重新编译...

独立安全研究人员Patrick Wardle发现了第一个Apple Silicon M1 Mac原生的恶意软件。前美国国家安全局研究员帕特里克-沃德尔(Patrick Wardle)最近对苹果M1处理器的安全性大加赞赏,但即便如此,现在也发现了黑客为其重新编译恶意软件的证据。

lulu.jpeg

Wardle发现了GoSearch22.app的存在,它是长期存在的Pirrit病毒的M1原生版本。这个版本似乎是为了显示广告和收集用户浏览器的数据。

"今天我们证实,恶意对手确实在制作多架构应用,这样他们的代码就能原生运行在M1系统上,"Wardle在一篇博客文章中说。"恶意的GoSearch22应用程序可能是这种原生兼容M1代码的第一个例子。这种应用程序的创建值得注意,主要有两个原因,"他继续说道。"毫不奇怪,这说明恶意代码在继续发展,直接响应苹果推出的硬件和软件变化。"

原生分发原生arm64二进制文件有无数的好处,恶意软件作者没有理由不这么做,其次,更令人担忧的是,由于架构较新,(静态)分析工具或反病毒引擎可能难以检测到它。

Wardle表示,目前一些可以发现英特尔版本Pirrit病毒的反病毒系统,都无法识别Apple Silicon M1版本。

目前苹果已经撤销了开发者证书,使其无法运行。Wardle表示,这意味着关于其分发的某些问题已经无法得到答案。

"不知道的是,苹果是否对代码进行了公证。"Wardle指出,这意味着开发者是否向苹果提交了代码,还是在绕过公司的安全问题。"我们无法回答这个问题,因为苹果已经撤销了证书。"

"我们知道的是,由于这个二进制程序已经在外部被检测到......不管它是否经过认证,macOS用户肯定有被感染了。"

希望了解更多细节可访问研究人员博客:

https://objective-see.com/blog/blog_0x62.html

稿源:cnBeta.COM

联系站长租广告位!

中国首席信息安全官
Copy link