Uno de los argumentos del "makovodov" a favor de su sistema es que hay muy poco software malicioso para él. Y lo que tenemos tiene que iniciarse casi manualmente, sin pasar por todos los sistemas de protección, por lo que la mayoría de malware para Mac no es peligroso. Pero macOS se está volviendo cada vez más popular, lo que significa que los atacantes se están volviendo más activos. Además, la mayoría de los usuarios de macOS tienen cuentas bancarias y dinero. Entonces tienen algo que llevarse.
Entonces, si antes la participación de MacOS era del 6,5% (hace unos 10 años), ahora ya es una quinta parte del mercado, el 20%. En consecuencia, tiene sentido crear software malicioso, ya que MacOS tiene millones de usuarios. Esto es lo que están haciendo los ciberdelincuentes ahora.
Además, Apple ha lanzado varios sistemas basados en el nuevo chip M1, por lo que los atacantes comenzaron a estudiar activamente este chip y sus capacidades. Ya han aparecido los primeros resultados. El especialista en seguridad de la información Patrick Wardle ha publicado recientemente los resultados de un estudio de una extensión maliciosa para Safari, "mejorada" exclusivamente para M1. Esta extensión es parte de la familia de programas publicitarios Pirrit Mac.
Apple M1, malware y usuarios
Como sabe, ISA para procesadores ARM es muy diferente al de los procesadores x86 tradicionales. En primer lugar, esto significa la necesidad de utilizar un emulador para ejecutar software x86 en sistemas con un procesador ARM. Los desarrolladores de Apple, al darse cuenta perfectamente de la imposibilidad de la migración masiva de todo el software de x86 a M1, crearon el emulador Rosetta 2 .
Muchos programas nativos se ejecutan un poco más rápido en M1 que el software emulador normal, pero la diferencia no es tan sensible como para confundir al usuario.
Pero los ciberdelincuentes que desarrollan malware para M1 decidieronque también se necesitan aplicaciones nativas, porque en este caso el usuario ni siquiera notará el retraso de tiempo. Todo funciona rápidamente, el sistema no se ralentiza, lo que significa que es difícil sospechar el desempeño de operaciones de terceros por parte de su propia computadora.
¿Qué es este software y cómo se descubrió?
El especialista en seguridad de la información Patrick Wardle utilizó la cuenta VirusTotal del investigador para buscar instancias de malware nativo de M1. Ejecutó esta solicitud:
tipo: etiqueta de macho: etiqueta de brazo: etiqueta de 64 bits: etiqueta de múltiples arcos: positivos firmados: 2 +
Esto significa algo así como “ejecutables de múltiples arcos firmados por Apple que incluyen código ARM de 64 bits y se han visto al menos dos anti -sistemas de virus ".
Wardle ha realizado un trabajo a gran escala en la búsqueda de malware M1. Finalmente encontró una extensión de Safari llamada GoSearch22. El archivo Info.plist del paquete de aplicaciones mostró que de hecho se trataba de una aplicación MacOS (no iOS).
El malware fue firmado por el desarrollador ID hongsheng_yan en noviembre de 2020. El certificado ya ha sido revocado, pero no se sabe exactamente por qué lo hizo Apple: es posible que la compañía descubrió las acciones ilegales del desarrollador o el uso de su certificado en interés de los atacantes.
Se puede suponer que la identificación fue revocada porque la extensión ayudó a los ciberdelincuentes a infectar los sistemas de las víctimas. Alguien notó el problema y los representantes de la empresa tomaron medidas.
Entonces, ¿qué hace GoSearch22?
Como se mencionó anteriormente, este malware es miembro de la familia Pirrit Mac. Esta es una familia muy "antigua", por así decirlo. Inicialmente, sus representantes trabajaban bajo Windows, pero luego fueron trasladados a Mac, por primera vez esto sucedió en 2017.
La extensión maliciosa detectada instaló un troyano que muestra anuncios de los ciberdelincuentes. Toda la página está literalmente atascada con anuncios. Además, se reemplaza la página de búsqueda, se pueden instalar un par de "bonificaciones".
Pirrit está equipado con un sistema de omisión de aplicaciones antivirus, que ayuda al malware a continuar encubiertamente su oscuro negocio. Pirrit también busca y elimina aplicaciones y extensiones de navegador que puedan interferir con él. Además, busca obtener acceso de root. El código del virus está oculto para hacer la vida aún más difícil al usuario y a los especialistas en seguridad de la información.
Sin duda, en un futuro próximo veremos nuevas copias de dicho software, nativo del M1. GoSearch22 es solo el comienzo.
