几个月前,苹果发布了新的MacBook Air,MacBook Pro和Mac Mini,它们均基于基于ARM的CPU Apple M1。但是,看起来新设备并没有被黑客所幸免。在最近由Wired(通过ArsTechnica)进行的一次采访中,Mac安全研究员Patrick Wardle发现了长期运行的以Mac为目标的Pirrit广告软件系列的M1本机版本。
已经提到,大多数现有的macOS恶意软件都可以通过Rosetta 2在配备M1的Mac设备上运行。此外,多位作者并不关心设备中的CPU周期。但是,直接针对芯片组定位广告软件仍然有一些好处。代码越有效,发现就越困难。
Wardle使用VirusTotal的研究人员帐户查找基于M1的恶意软件。尽管搜索结果主要是针对iOS的恶意软件,但Wardle还是设法找到了一个名为GoSearch22的Safari扩展。据报道,该应用程序捆绑了Info.plist文件,以确认它确实是macOS应用程序,而不是iOS。
该应用程序已于2020年11月与Apple开发人员ID“ hongsheng_yan”签署。但是,由于该公司已吊销证书,因此不确定Apple是否对它进行了公证。由于证书已被吊销,因此GoSearch22的版本将不再在macOS上运行。直到作者设法用另一个开发者密钥对其进行签名为止。
如报告中所述,GoSearch22 Wardle发现了24个不同的恶意软件检测引擎,其中17个是“通用”的,而其余7个与Pirrit广告软件系列的签名相匹配。
对于那些不了解的人,Pirrit是一个长期运行的恶意软件家族,始于Windows,但最终进入了macOS。研究人员于2016年首次报告了其在macOS上的存在。用户安装基于Pirrit的软件后,该软件的范围可能从伪造的视频播放器到PDF阅读器,或者是safari扩展程序,在这种情况下,用户的默认引擎是变成了不同而无益的东西。
此外,跟踪他们的Web浏览器使用情况,并在访问的网页上塞满不需要的广告。安装后,该恶意软件会使用技巧来保持安装状态并未被发现。该恶意软件还会找出并删除可能会干扰它的应用程序和浏览器扩展。