研究人员发现了最初在Apple的M1芯片上本地运行的恶意软件示例之一。 GoSearch22广告软件将自己安装为Safari扩展

2021-02-17 23:53:06

去年,苹果公司推出了第一台由公司自己的硬件驱动的计算机,促使许多开发人员编写专门用于新型M1处理器的应用程序。现在,黑客也纷纷效仿。

独立安全研究员帕特里克·沃德尔(Patrick Wardle)为Mac开发了免费的安全工具,他说,他很可能是第一个为新的ARM M1处理器本地开发的恶意应用程序的例子。在周三发布的博客文章中,Wardle分析了一个应用程序,该应用程序似乎是MacOS臭名昭著的广告软件的新版本。

根据Wardle的说法,该广告软件会将自己安装为恶意的Safari扩展程序,并且是自称为GoSearch22的应用程序的更新版本。根据安全网站PC Risk的说法,该广告软件从浏览器收集数据并显示广告的弹出窗口,优惠券和横幅。

"看起来像是很原始的广告软件," Wardle在网上聊天中告诉Motherboard。 "其主要目标,目的似乎与通过广告,搜索结果等获得的经济收益有关。"

但Wardle警告说,GoSearch22的开发人员将来可能会进行更新,以包含更多的侵入性和恶意功能。

根据在线恶意软件存储库VirusTotal的数据,它显示了防病毒软件是否将某些文件检测为恶意文件,GoSearch22是臭名昭著的广告软件Pirrit的新更新版本。在2016年和2017年,网络安全研究员Amit Serper在Pirrit上发表了几份报告,指出虽然这不是突破性的威胁,但它使攻击者对您的计算机具有持久性,并且对于普通用户而言很难移除。

您是否有有关此恶意软件或其他Mac恶意软件的信息?我们很乐意听取您的意见。您可以通过+1 917 257 1382,通过Wire / Wickr @lorenzofb或通过[email protected]来安全地通过Signal与Lorenzo Franceschi-Bicchierai安全联系。

Serper在一次在线聊天中说,Wardle发现的这个新广告软件看上去“非常熟悉”。他几年前分析过的Pirrit广告软件。

2017年,Serper透露Pirrit由一家名为TargetingEdge的广告技术公司开发。当时,该公司向Serper发送了停止和终止函,以阻止他发表研究,声称他们与Pirrit无关,并且他们的软件不是恶意软件。

Wardle说他没有在新的Pirrit版本和TargetingEdge之间找到链接,但这可能是因为他只是从技术角度看了广告软件。

Wardle说,该广告软件是由在野外发现它的用户上传到VirusTotal的,这可能要归功于Wardle开发的用于检测MacOS上恶意软件的工具KnockKnock。

有趣的是,沃德尔注意到并不是所有的防病毒引擎似乎都准备好检测用于M1处理器的恶意软件。在一个简单的实验中,Wardle将旧版本的Pirrit与新版本分离,将其上传到VirusTotal,发现大约15%的防病毒引擎未将新版本检测为恶意软件。

"应该被视为对安全工具/ [防病毒]引擎的唤醒,以确保它们已针对arm64进行了测试,"沃德尔说。

好消息是,苹果公司已经吊销了Pirrit制造商使用的开发人员证书,这应该阻止用户安装它。

从某种意义上说,这一发现表明,恶意软件制造商与任何其他开发人员一样,必须跟上新技术。 "广告软件人员在macOS上表现出最大的适应性。 如果有人要成为第一个,我会以为是Pirrit,Genieo或Bundlore背后的人," 网络安全研究员托马斯·里德(Thomas Reed)说,他从事Malwarebytes工作,指的是其他类型的广告软件。 "他们是最活跃,最容易使用新技术的人。 签署VICE新闻通讯,即表示您同意接收来自VICE的电子通讯,其中有时可能包含广告或赞助内容。