吳明宜第二隻 M1 晶片惡意程式現身 利用合法安裝套件潛入受害電腦
上周才有研究人員公佈第一隻針對蘋果 M1 晶片的惡意程式,同時間又有另一家安全廠商揭露第二隻,已感染近 3 萬台 Mac 電腦。
前 NSA 研究員 Patrick Wardle 上周才公佈名為 GoSearch22 的 Safari 外掛,它其實是 Pirrit 惡意廣告程式偽裝,而且由英特爾晶片平台轉戰 Apple Silicon,成為據信是第一隻跑在 M1 晶片上的惡意軟體。
第二隻 M1 晶片惡意程式已擴散感染
不過另一家安全廠商 Red Canary 也同時公佈了另一隻惡意程式,和 Pirrit 屬不同家族,名為 Silver Sparrow。Red Canary 利用 Malwarebytes 提供的資料顯示,截至 2 月 17 日,Silver Sparrow 已感染 153 國,而且已感染了 29,1393 萬台 macOS 終端,主要位於美國、英國、加拿大、法國、德國及法國等。
Red Canary 研究人員分析了兩支 Silver Sparrow 樣本,分別瞄準 x86 及 M1 晶片。兩者都會利用 macOS Installer JavaScript API 執行可疑指令。研究人員指出,惡意程式使用合法軟體 Installer 套件是前所未見。一旦描述語言執行,惡意程式就會連回攻擊者控制的外部伺服器,此外,它運用 macOS 的根資料夾 LaunchAgent,這個資料夾包含可自動化管理系統行程。LaunchAgent 的描述語言會控制 Silver Sparrow 每小時連繫伺服器一次,呼叫下載 JSON 檔到磁碟,將之轉換成 plist,並以其屬性決定未來行動。
銀雀目前只顧著擴散,未來可能下載惡意內容發動攻擊
不過除此之外,研究人員尚未發現 Silver Sparrow 下載任何惡意封包內容 (payload) 到 Mac 電腦上。但他們認為 Silver Sparrow 既然可跑在 M1 上、感染多國及高感染能力,以及操作成熟度,顯示 Silver Sparrow 哪一天就會上傳惡意程式,成為重大威脅。
至於 Silver Sparrow 如何散佈還有待研究,但 Red Canary 研究人員發現它使用了 AWS 及 Akamai 的內容遞送網路 (CDN),推測 Silver Sparrow 的作者對使用公有雲或 CND 也有相當了解,使防禦它更困難,因為一般企業往往對大型公有雲不加阻攔。
蘋果於去年 11 月推出三款採用自行研發的 M1 晶片的 MacBook Pro、MacBook Air 及 Mac Mini。M1 晶片採用 ARM 開發的 RISC 指令集,包含 32-bit 及 64-bit 版本。而媒體初期測試也顯示 M1 晶片雖然是為入門機種設計,但效能及省電性卻大勝英特爾晶片。
一周內接連出現兩隻惡意程式,這顯示蘋果為了安全性斬斷 Intel x86 架構的關係,自行開發 M1 晶片,這項企圖已面臨挑戰。而且 M1 晶片推出約三個月就出現,惡意軟體界的「創新」速度不容小覷,也是對安全界的警訊。
應用安全測試業者 nVisium 指出,蘋果可預料將持續研發新的 M 處理器,觸及更多用戶,包括個人及企業用戶,而染指 M1 晶片的惡意程式也會加速演化,畢竟對駭客來說,跟著市場主流走就有利可圖。
安全公司 Greenlight 也指出,雖然目前 M1 惡意程式感染幅度也不大,但他預計複雜度將愈來愈升高。例如歹徒可利用這些機器連上許多裝置透過實體連線或 VPN 存取的廣大網路,蔓延到更多機器上。