Eines der Argumente der "Makovodov" für ihr System ist, dass es sehr wenig bösartige Software dafür gibt. Und was wir haben, muss fast manuell unter Umgehung aller Schutzsysteme gestartet werden, damit die meiste Malware für Mac nicht gefährlich ist. MacOS wird jedoch immer beliebter, was bedeutet, dass Angreifer immer aktiver werden. Darüber hinaus haben die meisten MacOS-Benutzer Bankkonten und Geld. Sie haben also etwas zu nehmen.
Wenn der Anteil von MacOS früher 6,5% betrug (vor ungefähr 10 Jahren), ist er jetzt bereits ein Fünftel des Marktes, 20%. Dementsprechend ist es sinnvoll, schädliche Software zu erstellen, da MacOS Millionen von Benutzern hat. Dies ist, was Cyberkriminelle jetzt tun.
Darüber hinaus hat Apple mehrere Systeme veröffentlicht, die auf dem neuen M1-Chip basieren. Daher begannen Angreifer, diesen Chip und seine Funktionen aktiv zu untersuchen. Die ersten Ergebnisse sind bereits erschienen. Der Informationssicherheitsspezialist Patrick Wardle hat kürzlich die Ergebnisse einer Studie über eine böswillige Erweiterung für Safari veröffentlicht, die exklusiv für M1 "geschärft" wurde. Diese Erweiterung ist Teil der Adrit-Familie Pirrit Mac.
Apple M1, Malware und Benutzer
Wie Sie wissen, unterscheidet sich ISA für ARM-Prozessoren stark von herkömmlichen x86-Prozessoren. Dies bedeutet zunächst, dass ein Emulator verwendet werden muss, um x86-Software auf Systemen mit einem ARM-Prozessor auszuführen. Apple-Entwickler, die die Unmöglichkeit einer Massenmigration aller Software von x86 auf M1 perfekt erkannt haben, haben den Rosetta 2- Emulator entwickelt .
Viele native Programme laufen unter M1 etwas schneller als normale Emulatorsoftware, aber der Unterschied ist nicht so empfindlich, dass er den Benutzer verwirrt.
Aber die Cyberkriminellen, die Malware für M1 entwickeln, haben entschiedenDiese nativen Anwendungen werden ebenfalls benötigt, da der Benutzer in diesem Fall die Zeitverzögerung nicht einmal bemerkt. Alles funktioniert schnell, das System wird nicht langsamer, was bedeutet, dass es schwierig ist, die Leistung von Operationen von Drittanbietern durch Ihren eigenen Computer zu vermuten.
Was ist diese Software und wie wurde sie entdeckt?
Der Informationssicherheitsspezialist Patrick Wardle verwendete das VirusTotal-Konto des Forschers, um nach Instanzen von M1-nativer Malware zu suchen. Er hat diese Anforderung ausgeführt:
Typ: Macho-Tag: Arm-Tag:
64-Bit- Tag: Multi-Arch-Tag: Signierte Positive: 2 + Dies bedeutet so etwas wie „Von Apple signierte ausführbare Multiarch-Dateien, die 64-Bit-ARM-Code enthalten und mindestens zwei Anti gesehen haben -Virus-Systeme ".
Wardle hat in großem Umfang nach M1-Malware gesucht. Er fand schließlich eine Safari-Erweiterung namens GoSearch22. Die Info.plist-Datei des App-Bundles zeigte, dass es sich tatsächlich um eine MacOS-App (nicht iOS) handelte.
Die Malware wurde im November 2020 von der Entwickler-ID hongsheng_yan signiert. Das Zertifikat wurde bereits widerrufen, aber es ist nicht genau bekannt, warum Apple es getan hat. Möglicherweise hat das Unternehmen die illegalen Handlungen des Entwicklers oder die Verwendung seines Zertifikats im Interesse von Angreifern entdeckt.
Es kann davon ausgegangen werden, dass die ID widerrufen wurde, da die Erweiterung Cyberkriminellen geholfen hat, die Systeme der Opfer zu infizieren. Jemand bemerkte das Problem und Unternehmensvertreter ergriffen Maßnahmen.
Was macht GoSearch22?
Wie oben erwähnt, gehört diese Malware zur Pirrit Mac-Familie. Dies ist sozusagen eine sehr "alte" Familie. Anfangs arbeiteten die Vertreter unter Windows, dann wurden sie auf den Mac portiert - zum ersten Mal im Jahr 2017.
Die erkannte böswillige Erweiterung hat einen Trojaner installiert, der Werbung von Cyberkriminellen anzeigt. Die gesamte Seite ist buchstäblich mit Anzeigen verstopft. Außerdem wird die Suchseite ersetzt, und es können einige "Boni" installiert werden.
Pirrit ist mit einem Bypass-System für Antivirenanwendungen ausgestattet, mit dessen Hilfe die Malware ihr dunkles Geschäft verdeckt fortsetzen kann. Pirrit sucht und entfernt auch Apps und Browsererweiterungen, die diese möglicherweise beeinträchtigen. Darüber hinaus versucht er, Root-Zugriff zu erhalten. Der Virencode ist verschleiert, um den Benutzern und Informationssicherheitsspezialisten das Leben noch schwieriger zu machen.
Ohne Zweifel werden wir in naher Zukunft neue Kopien dieser Software sehen, die im M1 beheimatet sind. GoSearch22 ist nur der Anfang.
