Um dos argumentos do "makovodov" em favor de seu sistema é que há muito pouco software malicioso para ele. E o que temos tem que ser iniciado quase manualmente, contornando todos os sistemas de proteção, para que a maioria dos malwares para Mac não sejam perigosos. Mas o macOS está se tornando cada vez mais popular, o que significa que os invasores estão se tornando mais ativos. Além disso, a maioria dos usuários do macOS possui contas bancárias e dinheiro. Portanto, eles têm algo para levar.
Então, se antes a participação do MacOS era de 6,5% (há cerca de 10 anos), agora já é um quinto do mercado, 20%. Conseqüentemente, faz sentido criar software malicioso, uma vez que o MacOS tem milhões de usuários. É isso que os cibercriminosos estão fazendo agora.
Além disso, a Apple lançou vários sistemas baseados no novo chip M1, de modo que os invasores começaram a estudar ativamente esse chip e suas capacidades. Os primeiros resultados já apareceram. O especialista em segurança da informação Patrick Wardle publicou recentemente os resultados de um estudo de uma extensão maliciosa para Safari, "aprimorada" exclusivamente para M1. Esta extensão faz parte da família de Adware Pirrit Mac.
Apple M1, malware e usuários
Como você sabe, o ISA para processadores ARM é muito diferente dos processadores x86 tradicionais. Em primeiro lugar, isso significa a necessidade de usar um emulador para executar o software x86 em sistemas com um processador ARM. Os desenvolvedores da Apple, percebendo perfeitamente a impossibilidade de migração em massa de todos os softwares de x86 para M1, criaram o emulador Rosetta 2 .
Muitos programas nativos são executados um pouco mais rápido no M1 do que o software de emulador regular, mas a diferença não é tão sensível a ponto de confundir o usuário.
Mas os cibercriminosos que desenvolvem malware para M1 decidiramque aplicativos nativos também são necessários, pois neste caso o usuário nem perceberá o atraso. Tudo funciona rapidamente, o sistema não fica lento, o que significa que é difícil suspeitar do desempenho de operações de terceiros pelo seu próprio computador.
O que é este software e como foi descoberto?
O especialista em segurança da informação Patrick Wardle usou a conta VirusTotal do pesquisador para pesquisar instâncias de malware nativo M1. Ele executou este pedido:
type: tag macho: tag arm: tag 64bits: tag multi-arch: positivos assinados: 2 +
Isso significa algo como “Executáveis multiarch assinados pela Apple que incluem código ARM de 64 bits e foram vistos pelo menos dois anti -vírus de sistemas ".
Wardle fez um trabalho em grande escala na procura de malware M1. Ele finalmente encontrou uma extensão do Safari chamada GoSearch22. O arquivo Info.plist do pacote de aplicativos mostrou que era realmente um aplicativo MacOS (não iOS).
O malware foi assinado pelo ID de desenvolvedor hongsheng_yan em novembro de 2020. O certificado já foi revogado, mas não se sabe exatamente por que a Apple o fez - é possível que a empresa tenha descoberto as ações ilegais do desenvolvedor ou o uso de seu certificado no interesse de atacantes.
Pode-se presumir que a ID foi revogada porque a extensão ajudou os cibercriminosos a infectar os sistemas das vítimas. Alguém percebeu o problema e os representantes da empresa agiram.
Então, o que GoSearch22 faz?
Como mencionado acima, esse malware é membro da família Pirrit Mac. Esta é uma família muito "antiga", por assim dizer. Inicialmente, seus representantes trabalhavam no Windows, mas depois foram portados para o Mac - pela primeira vez isso aconteceu em 2017.
A extensão maliciosa detectada instalou um Trojan que exibe anúncios de cibercriminosos. A página inteira está literalmente entupida de anúncios. Além disso, a página de pesquisa é substituída, alguns "bônus" podem ser instalados.
O Pirrit é equipado com um sistema de desvio de aplicativo antivírus, que ajuda o malware a continuar secretamente seu negócio escuro. Pirrit também procura e remove aplicativos e extensões de navegador que podem interferir nele. Além disso, ele busca obter acesso root. O código do vírus é ofuscado para dificultar ainda mais a vida do usuário e dos especialistas em segurança da informação.
Sem dúvida, em um futuro próximo veremos novas cópias desse software, nativo do M1. GoSearch22 é apenas o começo.
