攻撃者は、AppleM1用のネイティブマルウェアを積極的に開発し始めました。最初のものは行きました



彼らのシステムを支持する「makovodov」の議論の1つは、そのための悪意のあるソフトウェアはほとんどないということです。また、すべての保護システムをバイパスして、ほぼ手動で起動する必要があるため、Mac用のほとんどのマルウェアは危険ではありません。しかし、macOSはますます人気が高まっています。つまり、攻撃者はますます活発になっています。さらに、ほとんどのmacOSユーザーは銀行口座とお金を持っています。だから彼らは取る何かを持っています。



したがって、以前はMacOSのシェアが6.5%(約10年前)だったとすると、 ではすでに市場の5分の1、20%になっています。したがって、MacOSには何百万ものユーザーがいるため、悪意のあるソフトウェアを作成することは理にかなっています。これはサイバー犯罪者が現在行っていることです。



さらに、Appleは新しいM1チップをベースにしたいくつかのシステムをリリースしたため、攻撃者はこのチップとその機能を積極的に研究し始めました。最初の結果はすでに現れています。情報セキュリティのスペシャリストであるPatrickWardleは最近、M1専用に「シャープ化」されたSafariの悪意のある拡張機能の調査結果を公開しました。この拡張機能は、アドウェアのPirritMacファミリーの一部です。



Apple M1、マルウェア、ユーザー



ご存知のように、ARMプロセッサ用のISAは、従来のx86プロセッサのISAとは大きく異なります。まず第一に、これは、ARMプロセッサを搭載したシステムでx86ソフトウェアを実行するためにエミュレータを使用する必要があることを意味します。 Apple開発者は、x86から​​M1へのすべてのソフトウェアの大量移行の不可能性を完全に認識して、Rosetta2エミュレーターを作成しました



多くのネイティブプログラムは、通常のエミュレータソフトウェアよりもM1で少し高速に実行されますが、その違いはユーザーを混乱させるほど敏感ではありません。



しかし、M1用のマルウェアを開発するサイバー犯罪者 は決定しましたこの場合、ユーザーは時間遅延にさえ気付かないため、ネイティブアプリケーションも必要です。すべてが迅速に機能し、システムの速度が低下することはありません。つまり、自分のコンピューターによるサードパーティの操作のパフォーマンスを疑うことは困難です。



このソフトウェアとは何ですか?どのようにして発見されましたか?



情報セキュリティの専門家であるPatrickWardleは、研究者のVirusTotalアカウントを使用して、M1ネイティブマルウェアのインスタンスを検索しました。彼はこのリクエストを実行しました:



タイプ:マッチョタグ:アームタグ:



64ビットタグ:マルチアーチタグ:符号付きポジティブ:2 +これは、「64ビットARMコードを含み、少なくとも2つのアンチウイルスが確認されたApple署名付きマルチアーチ実行可能ファイル」のようなものを意味します。 -ウイルスシステム」。



Wardleは、M1マルウェアを探すというかなり大規模な仕事をしました。彼は最終的にGoSearch22と呼ばれるSafari拡張機能を見つけました。アプリバンドルのInfo.plistファイルは、それが実際にMacOSアプリ(iOSではない)であることを示していました。



このマルウェアは、2020年11月に開発者IDhongsheng_yanによって署名されました。証明書はすでに取り消されていますが、Appleがなぜそれを行ったのかは正確にはわかりません。Appleが開発者の違法行為や攻撃者の利益のために彼の証明書を使用していることを発見した可能性があります。



拡張機能が被害者のシステムに感染するサイバー犯罪者を助けたため、IDが取り消されたと考えられます。誰かが問題に気づき、会社の代表者が行動を起こしました。



では、GoSearch22は何をするのでしょうか?



上記のように、このマルウェアはPirritMacファミリーのメンバーです。これは、いわば非常に「古代の」家族です。当初、その代表者はWindowsで作業していましたが、その後Macに移植されました。これは2017年に初めて発生しました。



検出された悪意のある拡張機能は、サイバー犯罪者からの広告を表示するトロイの木馬をインストールしました。ページ全体が文字通り広告で詰まっています。さらに、検索ページが置き換えられ、いくつかの「ボーナス」をインストールできます。



Pirritには、ウイルス対策アプリケーションバイパスシステムが装備されており、マルウェアがひそかにダークビジネスを継続するのに役立ちます。Pirritはまた、干渉する可能性のあるアプリやブラウザー拡張機能を探して削除します。さらに、彼はルートアクセスを取得しようとしています。ウイルスコードは難読化されており、ユーザーや情報セキュリティの専門家の生活をさらに困難にしています。



間違いなく、近い将来、M1にネイティブなそのようなソフトウェアの新しいコピーが表示されます。GoSearch22はほんの始まりに過ぎません。






All Articles