Обнаружено вредоносное ПО, специально разработанное для работы на чипе M1 от Apple, что свидетельствует о том, что авторы вредоносного ПО начали адаптировать вредоносное программное обеспечение для нового поколения Mac от Apple с процессорами Apple silicon.

Специалист по безопасности Mac Патрик Уордл опубликовал отчет, на который ссылается издание Wired, где подробно объясняется, как вредоносное ПО начало адаптироваться и перекомпилироваться для работы нативно на чипе ‌M1‌.

Уордл обнаружил первое известное нативное вредоносное ПО для ‌M1‌ в виде расширения рекламного ПО для Safari, первоначально написанного для работы на процессорах Intel x86. Вредоносное расширение под названием «GoSearch22» является известным представителем семейства рекламного ПО для Mac «Pirrit» и было впервые обнаружено в конце декабря. Pirrit — одно из старейших и наиболее активных семейств рекламного ПО для Mac, которое постоянно меняется в попытке избежать обнаружения, поэтому неудивительно, что оно уже начало адаптироваться для ‌M1‌.

Рекламное ПО GoSearch22 выдает себя за законное расширение браузера Safari, но собирает пользовательские данные и показывает большое количество рекламы, такой как баннеры и всплывающие окна, включая те, которые ведут на вредоносные веб-сайты для распространения большего количества вредоносного ПО. Уордл говорит, что рекламное ПО было подписано Apple Developer ID в ноябре для дальнейшего сокрытия своего вредоносного контента, но с тех пор оно было отозвано.

Уордл отмечает, что, поскольку вредоносное ПО для ‌M1‌ находится на ранней стадии, антивирусные сканеры обнаруживают его не так легко, как версии для x86, а защитные инструменты, такие как антивирусные движки, испытывают трудности с обработкой измененных файлов. Сигнатуры, используемые для обнаружения угроз от вредоносного ПО на чипе ‌M1‌, еще не были существенно изучены, поэтому инструментов безопасности для его обнаружения и борьбы с ним еще нет.

Исследователи из компании безопасности Red Canary сообщили изданию Wired, что были найдены и исследуются другие типы нативного вредоносного ПО для ‌M1‌, отличные от находок Уордла.

В настоящее время чипы Apple silicon установлены только в MacBook Pro, MacBook Air и Mac mini, но ожидается, что эта технология будет расширяться на всю линейку Mac в течение следующих двух лет. Учитывая, что все новые компьютеры Mac в ближайшем будущем, как ожидается, будут оснащены чипами Apple silicon, такими как ‌M1‌, разработчики вредоносного ПО неизбежно начали нацеливаться на новые машины Apple.

Хотя найденное исследователями вредоносное ПО, работающее нативно на M1, не кажется необычным или особо опасным, появление этих новых разновидностей служит предупреждением о том, что, вероятно, будет и больше.

См. полный отчет Уордла для получения дополнительной информации о первом нативном вредоносном ПО для M1.