Med de seneste Mac-modellene som ble lansert på tampen av fjoråret introduserte Apple sine egendesignede, ARM-baserte prosessorbrikker M1. Det innebar også at hackere med interesse for Mac-plattformen måtte tenke nytt, og det har de nå gjort, viser det seg.
En sikkerhetsforsker som spesialiserer seg på Mac-skadevare, Patrick Wardle, meddelte nylig på bloggen sin (via Engadget) at han har sporet opp skadevare som er spesifikt designet for de nye M1-brikkene.
Ondsinnet Safari-utvidelse
Wardle fant skadevaren etter et etterforskningsarbeid som innebar å gå gjennom koden til programmer lastet opp på Virustotal.
Virustotal er en Google-eid tjeneste som samler mange antivirusverktøy på ett sted og som brukes til å analysere mistenkelige filer som brukerens antivirus-programmer ikke har plukket opp.
Sikkerhetsforskeren trålte etter MacOS-programmer med native M1-kode, altså arm64-kode, som er designet for å kjøre på M1-systemene uten å først oversettes fra x86-koden. Wardle fant etter hvert frem til et program ved navn Gosearch22, en ondsinnet utvidelse til Apple-nettleseren Safari.
Utvidelsen er ifølge forskeren en variant av Pirrit, en gammel og kjent adware-programvare som først dukket opp til Windows, men som senere fant veien til MacOS-plattformen.
Programvaren fungerer ved å blant annet vise uønskede annonser og promotere tvilsomme nettsider, og den samler også inn søkedata og andre data fra brukeren. Den bruker flere metoder for å holde seg skjult, og kan oppdage om den kjører på virtuelle maskiner.
Som sikkerhetsselskapet Cybereason påpekte i en omtale av programvaren allerede i 2017 kjører programvaren også under rotprivilegier.
Lavere sjanse til å bli oppdaget
– I dag bekreftet vi at ondsinnede aktører bygger multiarkitektur-applikasjoner, slik at koden deres kan kjøres på M1-systemer. Den ondsinnede Gosearch22-applikasjonen kan være det første eksempelet på slik native M1-kompatibel kode, skriver Wardle.
Eksisterende skadevare til MacOS-plattformen er riktignok kompatibel med M1-maskinene selv om den ikke er native. Som sikkerhetsforskeren peker på har ondsinnede aktører imidlertid flere fordeler, ikke minst ytelsesmessige, ved å lage skadevare spesifikt tilpasset arkitekturen – på samme måte som for vanlige utviklere.
I tillegg kan Rosetta-oversetteren inneholde feil som kan forhindre eldre applikasjoner fra å kjøre riktig, noe også ondsinnede utviklere har interesse av å unngå.
En annen viktig erfaring som Wardle gjorde seg i arbeidet er at analyse- og antivirus-verktøy har lavere sjanse til å fange opp arm64-kode til tross for at denne er logisk identisk med x86-versjonen. Forskeren skriver at arm64-versjonen hadde 15 prosent lavere deteksjonsrate ved skanning med flere av de ledende verktøyene.
Flere tekniske detaljer finner du på bloggen.
Ny Mac-skadevare bruker «filløse» angrep for å unngå bli fanget opp av antivirus