吳明宜研究人員發現首隻瞄準M1晶片的惡意程式-GoSearch22.app
蘋果去年10月公佈Apple Silicon系列的M1晶片以及三款搭載M1的Mac電腦令人驚豔,不過才不到半年,第一隻M1晶片的惡意程式已經問世。
美國國安局(NSA)前僱員,現為獨立安全研究人員Patrick Wardle,首先發現名為GoSearch22.app的惡意程式。它是流傳已久的廣告程式Pirrit轉戰M1而成的結果。
惡意廣告不放過M1晶片
Wardle一開始在VirusTotal掃瞄引擎上尋找M1的原生惡意程式。當他以「包含64-bit ARM程式碼的蘋果多架構執行檔,且至少被2個防毒引擎標示出來」為條件進行搜尋,結果大部份是支援ARM架構的iOS惡意程式。不過最後竟然出現了一隻名為GoSearch22的Safari瀏覽器外掛程式。這款App套件的Info.plist檔證實它是一隻macOS(而非iOS)平台的M1惡意程式。然而實際上它卻是廣告程式Pirrit。Pirrit最早在2016年被安全人員發現,起初感染Windows,之後又轉到macOS。
M1版Perrit曾觸發24款不同防毒軟體發出警告,但其中17款評定為「一般」(generic),剩下7家則偵測出它和廣告軟體Pirrit屬於同一家族。
Pirrit為廣告程式,它的變種則會偽裝成假的影片播放軟體、PDF閱讀器或(像本次看到的)Safari外掛,誘使用戶下載。當使用者安裝後,無論搜尋到哪個網站,連去的網頁都會被塞滿討人厭的廣告,瀏覽器使用紀錄也會被追蹤。此外,它還會有許多進階能力,包括不存在應用目錄、取得Mac電腦根權限、混淆程式碼以躲避偵測、防止分析,並搜尋並移除試圖干擾它的應用程式或外掛,以便儘可能隱藏在Mac電腦中。
這款App去年11月由Apple開發人員ID hongsheng_yan簽章。不過該憑證已經被蘋果吊銷,因此不確定是否經蘋果公證。不過也因為憑證被吊銷,因此GoSearch22現在也無法在macOS上執行,除非獲得另一個開發人員的簽章。但是,在遭到取消憑證前這款App已成功感染了macOS用戶。
Wardle指出,這支惡意程式的出現有兩方面的意思。一來,這顯示了惡意程式的開發,直接連動蘋果的軟、硬體發展。既然散佈原生ARM64二進位檔有這麼多好處,惡意程式作者何樂不為?第二則顯示現行狀態分析或防毒引擎還無力偵測到這新的惡意程式,這比較令人擔憂。