第一隻鎖定蘋果 M1 新處理器的原生惡意軟體來襲!

作者 | 發布日期 2021 年 02 月 18 日 15:00 | 分類 Apple , 網路 , 資訊安全 Telegram share ! follow us in feedly


蘋果(Apple)去年發表首顆 ARM 架構處理器 M1,並搭載於 MacBook 和 Mac mini。這顆讓英特爾與 AMD 備感壓力的 5 奈米新晶片,一開始就被駭客盯上。之前網路早存在一系列長期鎖定 Mac 的 Pirrit 廣告軟體,如今 Mac 安全研究人員 Partric Wardle 發現網路已出現鎖定 M1 新處理器的原生版 Pirrit。 

與傳統 x86 桌機和筆電 CPU 相比,ARM CPU 具備截然不同的指令集架構(Instruction Set Architecture,ISA),意味專為某 ISA 架構設計的軟體在沒有協助的情況下就無法在另一 ISA 運行。M1 Mac 可藉由名為 Rosetta 的轉譯層運行 x86 軟體,然而 M1 原生應用程式顯然運行更快,這點從 Rosetta 轉譯的 Google Chrome 與 M1 原生版 Chrome 效能比較可清楚看到。

長久以來蘋果 Mac 市占率遠遠比不上 PC,這也讓果迷得以免於惡意軟體荼毒。10 年前,macOS 作業系統市率只有 6.5%,幾乎沒有惡意軟體會以它為攻擊目標。但隨著現今市占率幾近 20% 之後,自然也成為惡意攻擊者的新歡。儘管目前 macOS 惡意軟體生態系統的規模仍小,但後續看漲之勢值得觀察。

如今惡意軟體作者直接鎖定 M1 的動機並不大,因大多數現有 macOS 惡意軟體都可透過 Rosetta 2 於搭載 M1 的 Mac 運行良好,且惡意軟體作者通常也不太在意效能,畢竟有不需任何代價的 CPU 週期可用。但直接鎖定 M1 新硬體仍然有一些好處,因為惡意程式碼愈有效,被感染電腦的所有者就愈不可能注意到被攻擊了,更別說還會全心全意將惡意軟體清除殆盡。

M1 原生惡意軟體證實曾大規模感染 macOS 使用者

Wardle 透過免費線上惡意軟體及網址掃描器 VirusTotal 的研究人員帳號查找 M1 原生惡意軟體的實例。幾經測試,他最終找到名為 GoSearch22 的 Safari 擴充套件。透過此應用程式 Bundle 的 Info.plist 檔,確認並非 iOS 應用程式,而是 macOS 應用程式。

該應用程式已於 2020 年 11 月經 Apple developer ID hongsheng_yan 簽署,但是我們不知道蘋果是否有公證,因蘋果已撤銷憑證。隨著憑證撤銷,這版本 GoSearch22 無法再於 macOS 運行,除非憑證作者設法用另一個開發者金鑰簽署。我們還可推測,這支惡意軟體 App 在憑證撤銷前確實大規模感染 macOS 實際使用者,否則絕不可能一開始就提交至 VirusTotal。

M1 原生版 Pirrit 能規避偵測,甚至獲取 Mac 系統 root 最高權限

Wardle 發現的 M1 原生惡意軟體觸發 24 個單獨惡意軟體偵測引擎,有 7 個與 Pirrit 廣告軟體家族的簽章匹配。Pirrit 是存在極久的惡意軟體家族,一開始在 Windows 環境橫行,最終移植到 macOS。研究人員 Amit Serper 於 2016 年首次發表 macOS 存在的研究,Serper 並於 2017 年發表著名的後續研究。

一旦使用者安裝 Pirrit 變種木馬,麻煩就會接踵而至(有可能是假冒的影像播放器、PDF 閱讀器,或是看起來無害的 Safari 擴充套件),使用者預設搜尋引擎會改成既討厭又沒用的東西,例如使用者網頁瀏覽狀況與使用率會被追蹤,或是使用者拜訪的網頁塞滿不需要的廣告。

糟糕的還不僅此,Pirrit 還透過極其成熟的惡意軟體技巧保持安裝狀態、避免被檢測,並讓試圖「阻礙」的人日子更難過。Pirrit 會找出並刪除想要阻礙它的應用程式和瀏覽器擴充套件,遠離應用程式目錄來躲避任何想找到它的嘗試,獲得受害Mac 系統的 root 最高權限,強力混淆自身程式碼讓偵測和分析更難進行。

(首圖來源:蘋果

關鍵字: , , , , , ,