Mac 恶意软件针对 Apple 内部 M1 处理器

分发恶意软件的应用程序专门针对Apple的最新M1 SoC，该产品已在其最新一代的MacBook Air，MacBook Pro和Mac mini设备中使用。

在苹果推出新的M1片上系统(SoC)三个月后，网络犯罪分子已经开发出可能是针对该移动巨头的第一个内部芯片的第一个恶意macOS应用程序。

最近发现的名为GoSearch22的恶意应用程序在M1上本机运行，这意味着它执行为M1设备的自然、基本操作模式编写的软件。此处的主要区别在于，该应用程序包括专门为在基于ARM的M1处理器上运行而设计的代码，而不是仅由Apple先前使用的Intel x86处理器运行。

该应用程序下载Pirnt的变体，它是一种广告软件。针对Mac的广告软件会在用户计算机上显示令人讨厌的广告，这对Apple设备来说是持续存在的普遍威胁。从那以后，Apple撤销了该恶意应用程序的证书。

苹果专业研究人员 Patrick Wardle 在星期三说：“苹果的新型M1系统提供了无数的好处，并且本机编译的arm64代码运行得非常快。” “今天，我们强调了一个事实，即恶意软件作者现在已经加入了开发人员的队伍……（重新）将其代码编译为ARM64，以获得与Apple最新硬件的本地二进制兼容性。”

什么是Apple M1 SoC？

Apple M1于11月推出，是Apple设计的首款基于ARM的芯片，现已成为其Mac设备的中央处理器。

从2006年开始，Apple设备在Intel处理器上运行。但去年，苹果为其Mac系列推出了自己的基于ARM的硅处理器，以努力实现更好的技术集成、速度和效率。

具体来说，M1支持ARM64指令集体系结构。

M1已部署在最新一代的Apple MacBook Air，Mac mini和MacBook Pro设备上 。但是，许多应用程序仍可以在较早的Apple CPU上使用的较旧的Intel CPU x86_64指令上运行。

“M1本地代码”是什么意思？

为帮助其应用程序针对较旧的Intel指令集的应用程序开发人员，Apple发布了Rosetta，该过程可将Intel的x86_64指令转换为本机ARM64指令-以便较旧的应用程序可以在M1系统上无缝运行。

根据Apple的说法，如果可执行文件仅包含Intel指令，则macOS会自动启动Rosetta并开始翻译过程。然后，系统启动翻译后的可执行文件来代替原始文件。

但是，非ARM64代码不能在本地M1系统上运行，需要首先进行转换-这可能导致加载时间变慢。这意味着希望他们的应用程序在M1上快速本机运行而不是经过Rosetta流程的开发人员必须重新编译他们的应用程序。恶意软件作者也是如此。

“基于本机（ARM64）应用程序运行速度更快（因为它们避免了运行时转换的需要），以及Rosetta（尽管令人惊叹）存在一些错误（可能会阻止某些较旧的应用程序运行）这一事实，开发人员是明智的以（重新）编译他们的M1应用程序。” Wardle说。

为了使二进制本机可以在这些M1系统上运行，必须将其编译为Mach-O通用二进制。Mach-O是Mac操作系统二进制文件的本机可执行文件格式，也被称为“FAT二进制文件”，这意味着它包含多个指令集的本机通用代码。这意味着它可以在多种处理器类型上运行-因此Mach-0二进制文件同时支持ARM64和x86_64（而不是仅x86_64）指令集。

GoSearch22应用

Wardle通过在VirusTotal上进行搜索找到了这样一个二进制文件（使用搜索查询类型：macho标签：arm标签：64bits标签：multi-arch标签：signed positives：2+）。在查看VirusTotal结果后，Wardle找到了GoSearch22，这是一个完整的macOS应用程序捆绑包，可以在M1系统上本地运行。GoSearch22于11月与Apple开发人员ID（hongsheng yan）签署。

Wardle说：“这证实了恶意软件/广告软件作者的确在努力确保其恶意软件与Apple最新的硬件本地兼容。”

经过进一步检查，Wardle发现GoSearch22执行了Pirrit，该Pirrit一旦启动，便将自己安装为恶意Safari扩展。它在受感染的Mac计算机上创建代理服务器，并将广告注入网页。

Pirrit的历史可以追溯到2016年，但多年来一直在不断发展。2016年，研究人员还将Mac OS X的Pirrit广告软件的变体链接到以色列的在线营销公司TargetingEdge，该公司仍处于隐身模式。

Wardle说：“我们确实知道这种二进制文件发现的……因此，无论是否经过公证，macOS用户都被感染了。”

未来的M1二进制文件

在将两个二进制文件（ARM64和x86_64）分别上载到VirusTotal并启动了两者的扫描之后，Wardle发现与独立的x86_64版本相比，对ARM64版本的检测下降了15％。这意味着几个防病毒引擎无法标记此二进制文件。

随着越来越多的网络犯罪分子将注意力集中在针对M1的ARM64二进制文件上，安全检测器正在努力跟上这一事实，这可能会在未来引发安全问题。

他说：“尽管x86_64和ARM64代码在逻辑上看起来完全相同（如预期的那样），但我们证明防御性安全工具可能难以检测到ARM64二进制文件。”

以Mac为目标的网络犯罪创新困扰苹果。

恶意应用程序揭示了网络犯罪分子的快速创新。

去年12月，研究人员发现了针对半岛电视台记者的间谍活动中使用的zer0单击Apple零日漏洞。7月，发现了一个名为EvilQuest的新恶意软件样本，研究人员称该样本可能正在引入一类新的Mac恶意软件。

8月，发现针对Mac用户的一项活动传播了XCSSET恶意软件套件，该套件能够劫持Safari Web浏览器并注入各种JavaScript有效载荷，这些有效载荷可以窃取密码，财务数据和个人信息，部署勒索软件等。

在下面，Wardle与Threatpost讨论了网络罪犯滥用Apple技术，开发恶意软件和创建“强大” iOS bug的最新策略。