Primer malware diseñado para el chip Apple M1

Una aplicación maliciosa de distribución de adware se dirige específicamente al nuevo SoC M1 de Apple, utilizado en sus dispositivos MacBook Air, MacBook Pro y Mac mini de última generación.

Tres meses después de que Apple lanzara su nuevo sistema en chip (SoC) M1, los ciberdelincuentes han desarrollado lo que podría ser la primera aplicación maliciosa de macOS dirigida al primer silicio interno del gigante móvil.

La aplicación maliciosa recientemente descubierta, llamada GoSearch22, se ejecuta de forma nativa en M1, lo que significa que ejecuta software escrito para el modo de operación básico y natural de los dispositivos con tecnología M1. El principal diferenciador aquí es que la aplicación incluye código diseñado para ejecutarse en procesadores M1 basados ​​en ARM, en lugar de solo los procesadores Intel x86 utilizados anteriormente por Apple.

La aplicación descarga una variante de Pirrit , que es un tipo de adware. El software publicitario dirigido a Mac, que muestra anuncios molestos en las computadoras de los usuarios, es una amenaza frecuente y continua para los dispositivos Apple . Desde entonces, Apple ha revocado el certificado de la aplicación maliciosa.

“Los nuevos sistemas M1 de Apple ofrecen una miríada de beneficios, y el código arm64 compilado de forma nativa se ejecuta increíblemente rápido”, dijo el investigador especializado en Apple Patrick Wardle, quien descubrió la aplicación, el miércoles . «Hoy, destacamos el hecho de que los autores de malware se han unido a las filas de los desarrolladores … (re) compilando su código en ARM64 para obtener compatibilidad binaria nativa con el último hardware de Apple». 

¿Qué es el SoC Apple M1?

Lanzado en noviembre, Apple M1 es el primer silicio basado en ARM diseñado por Apple, que ahora es la unidad central de procesamiento para sus dispositivos Mac.

A partir de 2006, los dispositivos Apple funcionaban con procesadores Intel. Pero el año pasado, Apple lanzó sus propios procesadores de silicio basados ​​en ARM para su línea Mac en un esfuerzo por lograr una mejor integración de tecnología, velocidad y eficiencia.

Específicamente, M1 admite una arquitectura de conjunto de instrucciones ARM64.

El M1 se implementa en las últimas generaciones de dispositivos MacBook Air, Mac mini y MacBook Pro de Apple. Sin embargo, muchas aplicaciones aún se ejecutan en las instrucciones anteriores de la CPU Intel x86_64, utilizadas por generaciones anteriores de dispositivos Apple.

Aplicación GoSearch22

Wardle encontró uno de esos binarios buscando en VirusTotal (usando el tipo de consulta de búsqueda: etiqueta macho: etiqueta de brazo: etiqueta de 64 bits: etiqueta de múltiples arcos: positivos firmados: 2+). Al examinar los resultados de VirusTotal, Wardle encontró GoSearch22, un paquete completo de aplicaciones macOS que se puede ejecutar de forma nativa en sistemas M1. GoSearch22 se firmó con un ID de desarrollador de Apple (hongsheng yan) en noviembre.

«Esto confirma que los autores de malware / adware están trabajando para garantizar que sus creaciones maliciosas sean compatibles de forma nativa con el último hardware de Apple», dijo Wardle.

Tras una inspección más detallada, Wardle descubrió que GoSearch22 ejecuta Pirrit, que una vez lanzado, se instala como una extensión maliciosa de Safari. Crea un servidor proxy en computadoras Mac infectadas e inyecta anuncios en páginas web.

Pirrit se remonta a 2016, pero ha seguido evolucionando a lo largo de los años. En 2016, los investigadores también vincularon una variante del adware Pirrit para Mac OS X a una empresa israelí de marketing en línea llamada TargetingEdge, que todavía está en modo sigiloso.

«Lo que sí sabemos es que este binario se detectó en la naturaleza … así que, tanto si estaba notariado como si no, los usuarios de macOS estaban infectados», dijo Wardle.