去年,苹果发布了搭载新ARM CPU(苹果M1)的Macbook和Mac Mini。几个月后,恶意软件作者已经直接针对新硬件。 Wired采访了Mac安全研究员Patrick Wardle,他发现了长期运行的以Mac为目标的Pirrit广告软件系列的M1原生版本。
ARM CPU与传统的x86台式机和笔记本电脑CPU具有非常不同的指令集体系结构(ISA),这意味着为一种ISA设计的软件无法在没有帮助的情况下在另一种ISA上运行。 M1 Mac可以运行带有称为Rosetta的翻译层的x86软件,但是本地M1应用程序当然可以运行得更快—正如我们将Rosetta转换后的Google Chrome浏览器与M1原生版本进行比较所看到的。在恶意软件方面,苹果用户长期以来一直受益于其平台的少数地位。十年前,macOS'操作系统的市场份额仅为6.5%,几乎没有恶意软件作者愿意针对它-但今天,该市场份额已接近20%。受欢迎程度的增加使恶意软件供应商也随之而来。与困扰Windows的Windows相比,macOS恶意软件生态系统仍然很小且相对较粗糙,但这是非常真实的。
恶意软件作者直接针对M1的诱因不是很大-大多数现有的macOS恶意软件都可以通过Rosetta 2在配备M1的Mac上正常运行,恶意软件作者通常也不太在意性能-您毕竟,CPU周期不会花费任何成本。但是,直接针对新硬件仍然有一些好处-恶意软件代码越有效,被感染的计算机的所有者就越不可能注意到和/或足够小心地将其清除。
Wardle使用VirusTotal的研究人员帐户查找M1本地恶意软件的实例。他使用的实际搜索是`type:macho tag:arm tag:64bits tag:multi-arch tag:signed positives:2 +`-转换为包含64位ARM代码的带有符号的Apple多体系结构可执行文件。并已被至少两个防病毒引擎标记。
不幸的是,此搜索主要产生针对iOS的恶意软件,并支持多个ARM体系结构,但是它缩小了范围,使Wardle可以手动清除结果。他最终找到了一个名为GoSearch22的Safari扩展。该应用程序捆绑包的Info.plist文件确认它确实是macOS(不是iOS)应用程序。
该应用程序已于2020年11月用苹果开发人员ID hongsheng_yan签名-但我们不知道苹果是否对它进行了公证,因为苹果此后撤销了其证书。撤销该证书后,此版本的GoSearch22将不再在macOS上运行,除非它的作者至少设法使用另一个开发者密钥对其进行签名。
我们还可以推测,该恶意软件应用在证书吊销之前确实感染了真正的macOS用户-否则,它极不可能首先被用户提交给VirusTotal。
发现的M1原生恶意软件Wardle触发了24个单独的恶意软件检测引擎。在这24个阳性中,有17个是“泛型”的,但其余7个与Pirrit广告软件家族的签名相匹配。
Pirrit是一个运行时间非常长的恶意软件家族,始于Windows,但最终移植到了macOS。研究人员Amit Serper于2016年首次发布了它在macOS上的存在,并于2017年对Serper进行了重要跟进。
如果您对所有尸体的埋葬位置感兴趣-对于Pirrit代码本身,还是对于扩散它的TargetingEdge公司-我强烈建议Serper编写非常详细且内容丰富的文章。但是,如果您只是在寻找简短版本,则Pirrit变体会显示不需要的广告,并且它们对此非常讨厌。
一旦用户安装了任何有光泽的特洛伊木马,问题的Pirrit变体就会被包裹起来(可能是假冒的视频播放器,PDF阅读器,或者看似良性的Safari扩展程序),用户的默认搜索引擎就会变成讨厌和无用的东西,跟踪他们的Web浏览器使用情况,并在访问的网页上塞满不需要的广告。
单靠这一切已经够糟了。但是Pirrit还使用完整的恶意软件技巧来保持安装状态,避免检测到,并给尝试“干扰”的任何人增加生命。用它。 Pirrit会查找并删除可能会干扰它的应用程序和浏览器扩展,从而避免试图通过远离Applications目录来查找它,获得对安装在其上的Mac的根访问权限,并严重混淆了其代码。试图使检测和分析更加困难。