Se ha descubierto una de las primeras muestras de malware diseñadas para ejecutarse de forma nativa en los chips M1 de Apple, lo que sugiere un nuevo desarrollo que indica que los malos actores han comenzado a adaptar software malicioso para atacar la última generación de Mac de la compañía con sus propios procesadores.
Si bien la transición al silicio de Apple ha requerido que los desarrolladores creen nuevas versiones de sus aplicaciones para garantizar un mejor rendimiento y compatibilidad, los autores de malware ahora están tomando pasos similares para crear malware que sea capaz de ejecutarse de forma nativa en los nuevos sistemas M1 de Apple, según el investigador de seguridad de macOS. Patrick Wardle.
Wardle detalló una extensión de adware de Safari llamada GoSearch22 que se escribió originalmente para ejecutarse en chips Intel x86, pero desde entonces ha sido adaptada para ejecutarse en chips M1 basados en ARM. La extensión maliciosa, que es una variante del malware publicitario Pirrit, se vio por primera vez en estado salvaje el 23 de noviembre de 2020, según una muestra cargada en VirusTotal el 27 de diciembre.
«Hoy confirmamos que los adversarios malintencionados están creando aplicaciones de arquitectura múltiple, de modo que su código se ejecutará de forma nativa en los sistemas M1», dijo Wardle en un artículo publicado ayer. «La aplicación maliciosa GoSearch22 puede ser el primer ejemplo de un código compatible de forma nativa con M1».
Si bien las Mac M1 pueden ejecutar software x86 con la ayuda de un traductor binario dinámico llamado Rosetta , los beneficios del soporte nativo significan no solo mejoras en la eficiencia, sino también una mayor probabilidad de permanecer bajo el radar sin llamar la atención no deseada.
Documentado por primera vez en 2016, Pirrit es una familia de adware persistente para Mac conocida por enviar anuncios intrusivos y engañosos a los usuarios que, al hacer clic, descargan e instalan aplicaciones no deseadas que vienen con funciones de recopilación de información.
El adware GoSearch22, muy ofuscado, se disfraza como una extensión legítima del navegador Safari cuando, de hecho, recopila datos de navegación y muestra una gran cantidad de anuncios, como pancartas y ventanas emergentes, incluidos algunos que enlazan a sitios web dudosos para distribuir malware adicional.
Wardle dijo que la extensión se firmó con un ID de desarrollador de Apple «hongsheng_yan» en noviembre para ocultar aún más su contenido malicioso, pero desde entonces ha sido revocada, lo que significa que la aplicación ya no se ejecutará en macOS a menos que los atacantes la vuelvan a firmar con otro certificado.
Aunque el desarrollo destaca cómo el malware continúa evolucionando en respuesta directa a ambos cambios de hardware, Wardle advirtió que «las herramientas de análisis (estáticas) o los motores antivirus pueden tener problemas con los binarios arm64», y las detecciones del software de seguridad líder en la industria disminuyen en un 15% en comparación. a la versión Intel x86_64.
Las capacidades de malware de GoSearch22 pueden no ser completamente nuevas o peligrosas, pero eso no viene al caso. En todo caso, la aparición de un nuevo malware compatible con M1 indica que esto es solo el comienzo y es probable que surjan más variantes en el futuro.