第二隻M1晶片惡意程式現身 利用合法安裝套件潛入受害電腦
上周才有研究人員公佈第一隻針對蘋果M1晶片的惡意程式,同時間又有另一家安全廠商揭露第二隻,已感染近3萬台Mac電腦。
前NSA研究員Patrick Wardle上周才公佈名為GoSearch22的Safari外掛,它其實是Pirrit惡意廣告程式偽裝,而且由英特爾晶片平台轉戰Apple Silicon,成為據信是第一隻跑在M1晶片上的惡意軟體。
第二隻M1晶片惡意程式已擴散感染
不過另一家安全廠商Red Canary也同時公佈了另一隻惡意程式,和Pirrit屬不同家族,名為Silver Sparrow。Red Canary利用Malwarebytes提供的資料顯示,截至2月17日,Silver Sparrow已感染153國,而且已感染了29,1393萬台macOS終端,主要位於美國、英國、加拿大、法國、德國及法國等。
Red Canary研究人員分析了兩支Silver Sparrow樣本,分別瞄準x86及M1晶片。兩者都會利用macOS Installer JavaScript API執行可疑指令。研究人員指出,惡意程式使用合法軟體Installer套件是前所未見。一旦描述語言執行,惡意程式就會連回攻擊者控制的外部伺服器,此外,它運用macOS的根資料夾LaunchAgent,這個資料夾包含可自動化管理系統行程。LaunchAgent的描述語言會控制Silver Sparrow每小時連繫伺服器一次,呼叫下載JSON檔到磁碟,將之轉換成plist,並以其屬性決定未來行動。
銀雀目前只顧著擴散,未來可能下載惡意內容發動攻擊
不過除此之外,研究人員尚未發現Silver Sparrow下載任何惡意封包內容(payload)到Mac電腦上。但他們認為Silver Sparrow既然可跑在M1上、感染多國及高感染能力,以及操作成熟度,顯示Silver Sparrow哪一天就會上傳惡意程式,成為重大威脅。
至於Silver Sparrow如何散佈還有待研究,但Red Canary研究人員發現它使用了AWS及Akamai的內容遞送網路(CDN),推測Silver Sparrow的作者對使用公有雲或CND也有相當了解,使防禦它更困難,因為一般企業往往對大型公有雲不加阻攔。
蘋果於去年11月推出三款採用自行研發的M1晶片的MacBook Pro、MacBook Air及Mac Mini。M1晶片採用ARM開發的RISC指令集,包含32-bit及64-bit版本。而媒體初期測試也顯示M1晶片雖然是為入門機種設計,但效能及省電性卻大勝英特爾晶片。
一周內接連出現兩隻惡意程式,這顯示蘋果為了安全性斬斷Intel x86架構的關係,自行開發M1晶片,這項企圖已面臨挑戰。而且M1晶片推出約三個月就出現,惡意軟體界的「創新」速度不容小覷,也是對安全界的警訊。
應用安全測試業者nVisium指出,蘋果可預料將持續研發新的M處理器,觸及更多用戶,包括個人及企業用戶,而染指M1晶片的惡意程式也會加速演化,畢竟對駭客來說,跟著市場主流走就有利可圖。
安全公司Greenlight也指出,雖然目前M1惡意程式感染幅度也不大,但他預計複雜度將愈來愈升高。例如歹徒可利用這些機器連上許多裝置透過實體連線或VPN存取的廣大網路,蔓延到更多機器上。