L’un des premiers échantillons de logiciels malveillants conçus pour s’exécuter nativement sur les puces M1 d’Apple a été découvert, suggérant un nouveau développement qui indique que les mauvais acteurs ont commencé à adapter des logiciels malveillants pour cibler la dernière génération de Mac de l’entreprise alimentés par ses propres processeurs.

Alors que la transition vers le silicium Apple a obligé les développeurs à créer de nouvelles versions de leurs applications pour assurer de meilleures performances et une meilleure compatibilité, les auteurs de logiciels malveillants entreprennent maintenant des étapes similaires pour créer des logiciels malveillants capables de s’exécuter de manière native sur les nouveaux systèmes M1 d’Apple, selon un chercheur en sécurité macOS. Patrick Wardle.

Wardle a détaillé une extension de logiciel publicitaire Safari appelée GoSearch22 qui a été initialement écrite pour fonctionner sur des puces Intel x86, mais qui a depuis été portée pour fonctionner sur des puces M1 basées sur ARM. L’extension voyous, qui est une variante du malware publicitaire Pirrit, a été vue pour la première fois dans la nature le 23 novembre 2020, selon un échantillon téléversé à VirusTotal le 27 décembre.

auditeur de mot de passe

“Aujourd’hui, nous avons confirmé que des adversaires malveillants sont en effet en train de créer des applications multi-architectures, de sorte que leur code fonctionnera nativement sur les systèmes M1”, mentionné Wardle dans un article publié hier. “L’application malveillante GoSearch22 peut être le premier exemple d’un tel code compatible nativement M1.”

Alors que les Mac M1 peuvent exécuter un logiciel x86 à l’aide d’un traducteur binaire dynamique appelé Rosetta, les avantages du support natif signifient non seulement des améliorations d’efficacité, mais aussi une probabilité accrue de rester sous le radar sans attirer l’attention indésirable.

mac0s-malware

Première documenté en 2016, Pirrit est une famille de logiciels publicitaires Mac persistants réputée pour diffuser des publicités intrusives et trompeuses aux utilisateurs qui, lorsqu’ils sont cliqués, téléchargent et installent des applications indésirables dotées de fonctionnalités de collecte d’informations.

Le lourdement obscurci GoSearch22 adware se déguise en extension de navigateur Safari légitime alors qu’en fait, il collecte des données de navigation et diffuse un grand nombre d’annonces telles que des bannières et des popups, y compris certaines qui renvoient à des sites Web douteux pour distribuer des logiciels malveillants supplémentaires.

Wardle a déclaré que l’extension avait été signée avec un identifiant de développeur Apple “hongsheng_yan” en novembre pour dissimuler davantage son contenu malveillant, mais qu’elle a depuis été révoquée, ce qui signifie que l’application ne fonctionnera plus sous macOS à moins que les attaquants ne la signent à nouveau avec un autre certificat.

Bien que le développement montre comment les logiciels malveillants continuent d’évoluer en réponse directe aux deux changements matériels, Wardle a averti que «les outils d’analyse (statique) ou les moteurs antivirus peuvent avoir du mal avec les binaires arm64», les détections provenant des logiciels de sécurité de pointe chutant de 15% par rapport à la version Intel x86_64.

Les capacités des logiciels malveillants de GoSearch22 ne sont peut-être pas entièrement nouvelles ou dangereuses, mais ce n’est pas la question. Si quoi que ce soit, l’émergence de nouveaux logiciels malveillants compatibles M1 signale que ce n’est qu’un début, et d’autres variantes sont susceptibles d’apparaître à l’avenir.



Leave a Reply