Apple julkaisi viime vuonna uuden M1-järjestelmäpiirin ensimmäisenä palana kaksivuotissuunnitelmaa siirtyä Intelin x86-prosessoreista yhtiön itse suunnittelemiin Arm-järjestelmäpiireihin. Muutos ei jäänyt huomaamatta myöskään haittaohjelmapuolella.
Applen macOS-käyttöjärjestelmään erikoistunut tietoturvatutkija Patrick Wardle kertoo löytäneensä ensimmäisen Arm-natiivin macOS-haittaohjelman. Tarkemmin kyse on Safari-selaimelle suunnitellun ja alun perin x86-arkkitehtuurille kehitetyn vihamielisen GoSearch22-laajennoksen uudesta Arm-natiivista versiosta. VirusTotaliin ladattuna myös Arm-versio tunnistettiin useiden testiohjelmien toimesta haitalliseksi, mutta oikein tunnistaneita palveluita oli 15 % vähemmän, kuin saman haitakkeen x86-versiolla. NSA:n leivissäkin työskennelleen Wardlen mukaan GoSearch22-laajennosta käytetään ilmeisesti osana mainoksia levittävää Pirrit-haittaohjelmistoa (adware).
MalwareBytesin hiljattain julkaiseman raportin mukaan ilmassa ei ole kuitenkaan selkeitä merkkejä macOS-hyökkäysten yleistymisestä. Yrityskäyttäjiin kohdistuneet macOS-hyökkäykset ovat yleistyneet viime vuonna peräti 31 %, mutta toisaalta kuluttajiin kohdistuneet hyökkäykset ovat laskeneet 40 prosenttia. Ylivoimaisesti suurin osa eli jopa 76 % macOS-hyökkäyksistä kuuluu ns. PUP- eli Potentially Unwanted Program -kategoriaan, kun 22 % on GoSearch22:n tapaan mainoshaitakkeita ja vain 1.5 % perinteisiä haittaohjelmia (malware).
Lähteet: HotHardware, MalwareBytes
Arm'd & Dangerous
objective-see.com
New macOS malware discovered, but threat remains unknown
http://www.techspot.com
Lisää pukkaa, levinnyt maailmanlaajuisesti yli 30 000 Maciin, mutta toistaiseksi ei ole tehnyt mitään varsinaista harmia. Haittaohjelma kuitenkin "soittaa kotiin" kerran tunnissa, joten potentiaalia olisi ilmeisesti muuhunkin.
Haittaohjelma käyttäytyy myös eri tavoin eri Maceissa: Intel-pohjaisissa ruudulle pamahtaa Hello World -ikkuna, mutta Arm-Maceilla ikkunan sisältö on punainen ja teksti "You did it".
1. The first version contained a Mach-O binary compiled for Intel x86_64 architecture only
2. In the second version, the adversary included a Mach-O binary compiled for both Intel x86_64 and M1 ARM64 architectures
Apple peruuttanut molempien sertifikaatit
Malware Version 1
Developer ID Saotia Seay (5834W6MYX3) – v1 bystander binary signature revoked by Apple
Malware Version 2
Developer ID Julie Willey (MSZ3ZH74RK) – v2 bystander binary signature revoked by Apple
Eli kun sertifikaatit peruttu niin tuo haittaohjelma ei asennu enää uusiin koneisiin. Tietysti jos hyökkääjä allekirjoittaa sen uudella toisella sertifikaatilla.
Silver Sparrow macOS malware with M1 compatibility
redcanary.com