Se ha descubierto una de las primeras muestras de malware diseñadas para ejecutarse de forma nativa en los chips M1 de Apple, lo que sugiere un nuevo desarrollo que indica que los malos actores han comenzado a adaptar software malicioso para atacar la última generación de Mac de la compañía con sus propios procesadores.
Si bien la transición al silicio de Apple ha requerido que los desarrolladores creen nuevas versiones de sus aplicaciones para garantizar un mejor rendimiento y compatibilidad, los autores de malware ahora están tomando pasos similares para crear malware que sea capaz de ejecutarse de forma nativa en los nuevos sistemas M1 de Apple, según el investigador de seguridad de macOS. Patrick Wardle.
Wardle detalló una extensión de adware de Safari llamada GoSearch22 que se escribió originalmente para ejecutarse en chips Intel x86, pero desde entonces ha sido adaptada para ejecutarse en chips M1 basados en ARM. La extensión maliciosa, que es una variante del malware publicitario Pirrit, se vio por primera vez en estado salvaje el 23 de noviembre de 2020, según una muestra cargada en VirusTotal el 27 de diciembre.
Si bien las Mac M1 pueden ejecutar software x86 con la ayuda de un traductor binario dinámico llamado Rosetta , los beneficios del soporte nativo significan no solo mejoras en la eficiencia, sino también una mayor probabilidad de permanecer bajo el radar sin llamar la atención no deseada.
Capsa, una herramienta portátil de diagnóstico y análisis del rendimiento de la red , proporciona una solución de análisis y captura de paquetes tremendamente poderosa y completa.
El adware GoSearch22, muy ofuscado, se disfraza como una extensión legítima del navegador Safari cuando, de hecho, recopila datos de navegación y muestra una gran cantidad de anuncios, como pancartas y ventanas emergentes, incluidos algunos que enlazan a sitios web dudosos para distribuir malware adicional.
Wardle dijo que la extensión se firmó con un ID de desarrollador de Apple «hongsheng_yan» en noviembre para ocultar aún más su contenido malicioso, pero desde entonces ha sido revocada, lo que significa que la aplicación ya no se ejecutará en macOS a menos que los atacantes la vuelvan a firmar con otro certificado.
Aunque el desarrollo destaca cómo el malware continúa evolucionando en respuesta directa a ambos cambios de hardware, Wardle advirtió que «las herramientas de análisis (estáticas) o los motores antivirus pueden tener problemas con los binarios arm64», y las detecciones del software de seguridad líder en la industria disminuyen en un 15% en comparación. a la versión Intel x86_64.
Las capacidades de malware de GoSearch22 pueden no ser completamente nuevas o peligrosas, pero eso no viene al caso. En todo caso, la aparición de un nuevo malware compatible con M1 indica que esto es solo el comienzo y es probable que surjan más variantes en el futuro.
Fuente: thehackernews.com
