Primeiro malware projetado para chip M1 da Apple descoberto sendo usado na rede

Uma das primeiras amostras de malware feitas sob medida para rodar nativamente nos chips M1 da Apple foi descoberta, sugerindo um novo desenvolvimento que indica que os malfeitores começaram a adaptar o software malicioso para atingir a última geração de Macs da empresa com seus próprios processadores.

Embora a transição para o silício da Apple tenha exigido que os desenvolvedores criassem novas versões de seus aplicativos para garantir melhor desempenho e compatibilidade, os autores de malware agora estão realizando etapas semelhantes para criar malware que sejam capazes de executar nativamente nos novos sistemas M1 da Apple, de acordo com o pesquisador de segurança do macOS Patrick Wardle.

Wardle detalhou uma extensão de adware do Safari chamada GoSearch22 que foi originalmente escrita para rodar em chips Intel x86, mas desde então foi portada para rodar em chips M1 baseados em ARM. A extensão desonesta, que é uma variante do malware de publicidade Pirrit, foi vista pela primeira vez em liberdade em 23 de novembro de 2020, de acordo com uma amostra enviada ao VirusTotal em 27 de dezembro.

“Hoje confirmamos que adversários mal-intencionados estão de fato criando aplicativos de arquitetura múltipla, para que seu código seja executado nativamente em sistemas M1”, disse Wardle em um artigo publicado ontem. “O aplicativo malicioso GoSearch22 pode ser o primeiro exemplo de código compatível com M1 nativamente.”

Enquanto M1 Macs podem executar software x86 com a ajuda de um tradutor binário dinâmico chamado Rosetta , os benefícios do suporte nativo significam não apenas melhorias de eficiência, mas também a maior probabilidade de ficar sob o radar sem atrair qualquer atenção indesejada.

mac0s-malware

Documentado pela primeira vez em 2016, o Pirrit é uma família de adware Mac persistente, famosa por enviar anúncios intrusivos e enganosos aos usuários que, quando clicados, baixam e instalam aplicativos indesejados que vêm com recursos de coleta de informações.

O adware GoSearch22 fortemente ofuscado se disfarça como uma extensão legítima do navegador Safari quando, na verdade, coleta dados de navegação e veicula um grande número de anúncios, como banners e pop-ups, incluindo alguns links para sites duvidosos para distribuir malware adicional.

Wardle disse que a extensão foi assinada com um ID de desenvolvedor da Apple “hongsheng_yan” em novembro para ocultar ainda mais seu conteúdo malicioso, mas já foi revogada, o que significa que o aplicativo não será mais executado no macOS, a menos que os invasores o assinem novamente com outro certificado.

Embora o desenvolvimento destaque como o malware continua a evoluir em resposta direta a ambas as mudanças de hardware, Wardle alertou que “ferramentas de análise (estática) ou mecanismos antivírus podem ter problemas com binários arm64”, com detecções de software de segurança líder da indústria caindo 15% em comparação para a versão Intel x86_64.

Os recursos de malware do GoSearch22 podem não ser inteiramente novos ou perigosos, mas isso não vem ao caso. No mínimo, o surgimento de novos malwares compatíveis com M1 sinaliza que isso é apenas um começo, e mais variantes provavelmente surgirão no futuro.

Fonte: https://thehackernews.com/