Primer malware optimizado de Apple Silicon descubierto en la naturaleza

Las primeras Apple Silicon Macs han estado disponibles solo durante unos meses y una buena parte de las aplicaciones populares se han actualizado con soporte nativo para M1 MacBook Air, Pro y Mac mini. No muy lejos, se ha encontrado en la naturaleza lo que parece ser el primer malware optimizado para Apple Silicon.

El descubrimiento fue realizado por el investigador de seguridad y fundador de Objective-See, Patrick Wardle. En una deconstrucción muy detallada, Patrick compartió cómo buscó el nuevo malware específico de Apple Silicon y por qué esto es importante.

Mientras trabajaba en la reconstrucción de mis herramientas para lograr la compatibilidad nativa con M1, me planteé la posibilidad de que los creadores de malware también estuvieran gastando su tiempo de manera similar. Al final del día, el malware es simplemente software (aunque malicioso), por lo que pensé que tendría sentido que (eventualmente) veamos malware creado para ejecutarse de forma nativa en los nuevos sistemas M1 de Apple.

Antes de salir a buscar malware nativo M1, debemos responder la pregunta: «¿Cómo podemos determinar si un programa se compiló de forma nativa para M1?» Bueno, en resumen, ¡contendrá código arm64! Bien, ¿y cómo averiguamos esto?

Una forma sencilla es a través de la herramienta de archivos incorporada de macOS (o lipo -archs). Con esta herramienta, podemos examinar un binario para ver si contiene código arm64 compilado.

Patrick terminó usando una cuenta de investigador gratuita con VirusTotal para comenzar su búsqueda. Un aspecto importante para saber si había algún malware realmente optimizado para Apple Silicon fue eliminar las aplicaciones universales que en realidad son binarios de iOS.

Después de reducir las cosas, Patrick encontró «GoSearch22» como un hallazgo interesante.

Después de pasar algunas comprobaciones más, Patrick pudo confirmar que se trata de malware optimizado para Mac M1.

¡Hurra, hemos logrado encontrar un programa macOS que contiene código nativo M1 (arm64) … que se detecta como malicioso! Esto confirma que los autores de malware / adware están trabajando para garantizar que sus creaciones maliciosas sean compatibles de forma nativa con el último hardware de Apple. 🥲

También es importante tener en cuenta que GoSearch22 se firmó con una ID de desarrollador de Apple (hongsheng yan), el 23 de noviembre de 2020:

Patrick señala que Apple ha revocado el certificado en este momento, por lo que no se sabe si Apple notificó el código. Pero aun así…

Lo que sí sabemos es que este binario fue detectado en la naturaleza (y enviado por un usuario a través de una herramienta Objective-See) … así que, ya sea que esté notariado o no, los usuarios de macOS fueron infectados.

Con más investigación, Patrick pudo descubrir que el malware optimizado GoSearch22 Apple Silicon es una variación del «frecuente, pero bastante insidioso, adware ‘Pirrit». Y específicamente, esta nueva instancia parece que tiene como objetivo «conservar un agente de lanzamiento» e «instalarse como una extensión maliciosa de Safari».

Aún más notable, GoSearch22 optimizado para Apple Silicon apareció por primera vez el 27 de diciembre, solo unas semanas después de que estuvieran disponibles las primeras Mac M1. Y Patrick observa que un usuario lo envió a VirusTotal con una de las herramientas de Objective-See.

Por que es importante

En conclusión, Patrick comparte algunas ideas sobre por qué es importante el malware optimizado de Apple Silicon. En primer lugar, es una prueba real de la rapidez con la que evoluciona el código malicioso en respuesta al nuevo hardware y software de Apple.

Pero más allá de eso, es la comprensión más importante de que las herramientas actuales pueden no estar a la altura de la tarea de defenderse contra el malware arm64 centrado en macOS:

En segundo lugar, y lo que es más preocupante, las herramientas de análisis (estáticas) o los motores antivirus pueden tener problemas con los binarios de arm64.

Consulte la publicación técnica completa de Patrick sobre Objective-See aquí.

FTC: Utilizamos enlaces de afiliados de automóviles que generan ingresos. Más.

Consulte . en YouTube para obtener más noticias de Apple: