在首批Apple Silicon设备问世几个月之后,就已经在野外发现了第一批基于M1的MacBook原生的恶意软件。

第一个M1恶意软件的消息来自前NSA研究人员和长期的Mac安全研究人员Patrick Wardle,后者发现了GoSearch22.app(一种长期存在的Pirrit病毒的M1本地版本)的存在。

Wardle在博客文章中说:“今天,我们确认恶意攻击者的确在设计多体系结构应用程序,因此它们的代码可以在M1系统上本地运行。” “恶意的GoSearch22应用程序可能是这种本地M1兼容代码的第一个示例。”

Wardle指出,广告软件是一种通过向用户发送弹出式窗口和广告来向用户发送垃圾邮件来产生收益的恶意软件,并于11月23日与一个Apple开发人员ID签署,这是一个付费帐户,可让Apple跟踪所有Mac和iOS开发人员。 。

拥有开发人员ID也意味着让用户下载恶意软件不会触发macOS上的Gatekeeper,这会在用户将要下载的应用程序不安全时通知用户。

更重要的是,Wardle说,当前可以发现Intel版本的Pirrit病毒的许多防病毒系统都无法识别M1版本。

Wardle说:“防病毒引擎等某些防御工具难以处理这种’新的’二进制文件格式。” “他们可以轻松地检测到Intel-x86版本,但是即使代码在逻辑上是相同的,也无法检测到ARM-M1版本。”

苹果尚未回应Wardle的调查结果,但该公司已撤销GoSearch22证书。

由于黑客通常希望利用利润丰厚的目标,因此第一批M1恶意软件的到来可能比许多人预期的要早。苹果公司仅在11月推出了其第一批M1 Mac,基于ARM的芯片目前仅限于MacBook Air,MacBook Pro和Mac mini的最新型号。

值得庆幸的是,对于已经拥有Apple Silicon Mac的少数人来说,GoSearch22威胁似乎不太危险。但是,毫无疑问,这表明更多的M1原生恶意软件即将出现。

分享文章: