与针对windows的恶意软件相比,Mac恶意软件一直不那么常见,但近年来,对苹果电脑的威胁已经成为主流。有专门针对mac电脑的广告软件,甚至勒索软件,攻击者总是想绕过苹果最新的防御措施。现在,黑客们已经发布了针对苹果公司新款基于arm的M1处理器的恶意软件,该处理器于去年11月发布,用于MacBook Pro、MacBook Air和Mac Mini。
苹果的M1芯片与2005年以来一直使用的英特尔x86架构不同,它让苹果有机会将特定的Mac安全保护和功能直接嵌入处理器中。这种转变要求合法的开发人员构建能够在M1上“原生”运行的软件版本,以获得最佳性能,而不需要通过一个名为Rosetta 2的苹果模拟器进行转换。不甘示弱的恶意软件作者们也开始转型。
长期从事Mac安全研究的Patrick Wardle周三发表了一项关于Safari广告软件扩展的发现,该扩展最初是为运行在Intel x86芯片上编写的,但现在已经专门为M1进行了重新开发。恶意扩展,GoSearch22,是一个臭名昭著的Pirrit Mac广告软件家族的成员。
“这表明,恶意软件的作者正在不断改进和调整,以跟上苹果最新的硬件和软件,”沃德尔说,他还开发开源Mac安全工具。“据我所知,这是我们第一次看到这种情况。”
来自安全公司Red Canary的研究人员告诉《连线》杂志,他们也在调查一个与Wardle的发现不同的本地M1恶意软件的例子。
考虑到苹果的ARM芯片是Mac处理器的未来,恶意软件的作者最终会开始为它们编写代码,这是不可避免的。去年12月底,也就是M1笔记本电脑出货一个多月后,有人将定制广告软件上传到反病毒测试平台VirusTotal。许多研究人员和组织经常将恶意软件样本自动或理所当然地上传到VirusTotal。Wardle发现的广告软件样本采用了一种标准的策略,即伪装成合法的Safari浏览器扩展,然后收集用户数据,并提供横幅广告和弹出式广告等非法广告,包括那些链接到其他恶意网站的广告。
苹果拒绝就这一发现置评。Wardle说,11月23日,这款广告软件与一个苹果开发者ID签约,这个付费账户允许苹果跟踪所有Mac和iOS开发者。该公司已经撤销了GoSearch22的证书。
Mac安全研究员Thomas Reed同意Wardle的评估,即广告软件本身并不是很新奇。但他补充说,对于安全研究人员来说,重要的是要意识到,原生的M1恶意软件不只是来了,而是已经来了。
“这绝对是不可避免的——编译M1就像在项目设置中轻按开关一样简单,”Reed说。“说实话,我一点也不惊讶于这种情况首先发生在Pirrit。这是最活跃的Mac广告软件家族之一,也是最古老的之一,而且它们还在不断地更换以逃避检测。”
恶意的Safari扩展确实有一些反分析功能,包括试图避免调试工具的逻辑。但是Wardle发现VirusTotal的反病毒扫描套件很容易发现x86版本的广告软件是恶意的,而对M1版本的检测下降了15%。
“某些防御工具,比如防病毒引擎,很难处理这种‘新的’二进制文件格式,”Wardle说。“他们可以很容易地检测到Intel-x86版本,但无法检测到ARM-M1版本,即使代码在逻辑上是相同的。”
Red Canary的研究人员强调,当反病毒和其他监控工具收集新类型恶意软件的“签名”或数字指纹时,检测率往往会滞后。
Red Canary公司的情报分析师托尼•兰伯特表示:“看着恶意软件从英特尔迅速过渡到M1令人担忧,因为安全工具还没有准备好应对它。”“安全部门还没有检测到这些威胁的签名,因为它们还没有被观察到。”
Lambert补充说,为像M1这样的新平台添加检测功能可能是一个微妙的过程。
Lambert说:“M1只有几个月的历史,安全供应商必须谨慎地开发软件,因为他们负担不起工具破坏客户系统的代价。”“在他们的软件在新技术变化方面的记录还过得去之前,安全供应商往往会落后一点。”
目前,研究人员发现的原生恶意软件M1本身似乎并不是一种非常危险的威胁。但这些新菌株的出现是一个警告,表明还有更多的病毒需要检测工具来填补这一空白。
