close
Wardle發現瞭GoSearch22.app的存在,它是長期存在的Pirrit病毒的M1原生版本。這個版本似乎是為瞭顯示廣告和收集用戶瀏覽器的數據。
"今天我們證實,惡意對手確實在制作多架構應用,這樣他們的代碼就能原生運行在M1系統上,"Wardle在一篇博客文章中說。"惡意的GoSearch22應用程序可能是這種原生兼容M1代碼的第一個例子。這種應用程序的創建值得註意,主要有兩個原因,"他繼續說道。"毫不奇怪,這說明惡意代碼在繼續發展,直接響應蘋果推出的硬件和軟件變化。"
原生分發原生arm64二進制文件有無數的好處,惡意軟件作者沒有理由不這麼做,其次,更令人擔憂的是,由於架構較新,(靜態)分析工具或反病毒引擎可能難以檢測到它。
Wardle表示,目前一些可以發現英特爾版本Pirrit病毒的反病毒系統,都無法識別Apple Silicon M1版本。
目前蘋果已經撤銷瞭開發者證書,使其無法運行。Wardle表示,這意味著關於其分發的某些問題已經無法得到答案。
"不知道的是,蘋果是否對代碼進行瞭公證。"Wardle指出,這意味著開發者是否向蘋果提交瞭代碼,還是在繞過公司的安全問題。"我們無法回答這個問題,因為蘋果已經撤銷瞭證書。"
"我們知道的是,由於這個二進制程序已經在外部被檢測到......不管它是否經過認證,macOS用戶肯定有被感染瞭。"
希望瞭解更多細節可訪問研究人員博客:
https://objective-see.com/blog/blog_0x62.html
全站熱搜
留言列表
