L'un des arguments des "makovodov" en faveur de leur système est qu'il y a très peu de logiciels malveillants pour cela. Et ce que nous avons doit être lancé presque manuellement, en contournant tous les systèmes de protection, de sorte que la plupart des logiciels malveillants pour Mac ne sont pas dangereux. Mais macOS devient de plus en plus populaire, ce qui signifie que les attaquants sont de plus en plus actifs. De plus, la plupart des utilisateurs de macOS ont des comptes bancaires et de l'argent sur eux. Alors ils ont quelque chose à prendre.
Ainsi, si elle est antérieure , la part de Mac OS était de 6,5% (il y a environ 10 ans), maintenant il est déjà un cinquième du marché, 20%. En conséquence, il est logique de créer des logiciels malveillants, car MacOS compte des millions d'utilisateurs. C'est ce que font actuellement les cybercriminels.
De plus, Apple a publié plusieurs systèmes basés sur la nouvelle puce M1, de sorte que les attaquants ont commencé à étudier activement cette puce et ses capacités. Les premiers résultats sont déjà apparus. Le spécialiste de la sécurité de l'information Patrick Wardle vient de publier les résultats d'une étude d'une extension malveillante pour Safari, "affûtée" exclusivement pour M1. Cette extension fait partie de la famille Pirrit Mac d'Adware.
Apple M1, logiciels malveillants et utilisateurs
Comme vous le savez, ISA pour les processeurs ARM est très différent de celui des processeurs x86 traditionnels. Tout d'abord, cela signifie la nécessité d'utiliser un émulateur pour exécuter un logiciel x86 sur des systèmes dotés d'un processeur ARM. Les développeurs Apple, réalisant parfaitement l'impossibilité de migrer en masse tous les logiciels de x86 vers M1, ont créé l'émulateur Rosetta 2 .
De nombreux programmes natifs s'exécutent un peu plus rapidement sous M1 que les logiciels d'émulation classiques, mais la différence n'est pas si sensible au point de dérouter l'utilisateur.
Mais les cybercriminels qui développent des logiciels malveillants pour M1 ont décidéque des applications natives sont également nécessaires, car dans ce cas, l'utilisateur ne remarquera même pas le délai. Tout fonctionne rapidement, le système ne ralentit pas, ce qui signifie qu'il est difficile de soupçonner les performances d'opérations de tiers par votre propre ordinateur.
Qu'est-ce que ce logiciel et comment a-t-il été découvert?
Patrick Wardle, spécialiste de la sécurité de l'information, a utilisé le compte VirusTotal du chercheur pour rechercher des instances de logiciels malveillants natifs M1. Il a exécuté cette requête:
type: macho tag: arm tag: 64bits tag: multi-arch tag: signed positifs: 2 +
Cela signifie quelque chose comme «Apple a signé des exécutables multiarch qui incluent du code ARM 64 bits et ont été vus au moins deux anti -systèmes antivirus ".
Wardle a fait un travail à grande échelle de recherche de logiciels malveillants M1. Il a finalement trouvé une extension Safari appelée GoSearch22. Le fichier Info.plist du bundle d'applications a montré qu'il s'agissait bien d'une application MacOS (et non iOS).
Le malware a été signé par l'ID de développeur hongsheng_yan en novembre 2020. Le certificat a déjà été révoqué, mais on ne sait pas exactement pourquoi Apple l'a fait - il est possible que l'entreprise ait découvert les actions illégales du développeur ou l'utilisation de son certificat dans l'intérêt des attaquants.
On peut supposer que l'ID a été révoqué parce que l'extension a aidé les cybercriminels à infecter les systèmes des victimes. Quelqu'un a remarqué le problème et les représentants de l'entreprise ont pris des mesures.
Alors, que fait GoSearch22?
Comme mentionné ci-dessus, ce malware fait partie de la famille Pirrit Mac. C'est une famille très "ancienne", pour ainsi dire. Au départ, ses représentants travaillaient sous Windows, mais ils ont ensuite été portés sur Mac - pour la première fois, cela s'est produit en 2017.
L'extension malveillante détectée a installé un cheval de Troie qui affiche des publicités de cybercriminels. La page entière est littéralement encombrée d'annonces. De plus, la page de recherche est remplacée, quelques "bonus" peuvent être installés.
Pirrit est équipé d'un système de contournement des applications antivirus, qui aide le malware à poursuivre secrètement ses activités sombres. Pirrit recherche et supprime également les applications et les extensions de navigateur qui pourraient interférer avec lui. De plus, il cherche à obtenir un accès root. Le code du virus est obscurci pour rendre la vie encore plus difficile pour l'utilisateur et les spécialistes de la sécurité de l'information.
Sans aucun doute, dans un proche avenir, nous verrons de nouvelles copies de ce logiciel, natif du M1. GoSearch22 n'est que le début.
