Salah satu argumen dari "makovodov" yang mendukung sistem mereka adalah bahwa sangat sedikit perangkat lunak berbahaya untuk itu. Dan apa yang kami miliki harus diluncurkan hampir secara manual, melewati semua sistem perlindungan, jadi sebagian besar malware untuk Mac tidak berbahaya. Tetapi macOS menjadi semakin populer, yang berarti penyerang menjadi lebih aktif. Selain itu, sebagian besar pengguna macOS memiliki rekening bank dan uang di dalamnya. Jadi mereka punya sesuatu untuk diambil.
Jadi, jika dulu pangsa MacOS 6,5% (sekitar 10 tahun lalu), sekarang sudah seperlima pasar, 20%. Karenanya, masuk akal untuk membuat perangkat lunak berbahaya, karena MacOS memiliki jutaan pengguna. Inilah yang dilakukan penjahat dunia maya sekarang.
Selain itu, Apple telah merilis beberapa sistem berdasarkan chip M1 baru, sehingga penyerang mulai secara aktif mempelajari chip ini dan kemampuannya. Hasil pertama sudah muncul. Spesialis keamanan informasi Patrick Wardle baru-baru ini menerbitkan hasil studi tentang ekstensi berbahaya untuk Safari, yang "dipertajam" secara eksklusif untuk M1. Ekstensi ini adalah bagian dari keluarga Pirrit Mac dari Adware.
Apple M1, malware dan pengguna
Seperti yang Anda ketahui, ISA untuk prosesor ARM sangat berbeda dari prosesor x86 tradisional. Pertama-tama, ini berarti kebutuhan untuk menggunakan emulator untuk menjalankan perangkat lunak x86 pada sistem dengan prosesor ARM. Pengembang Apple, yang menyadari dengan sempurna ketidakmungkinan migrasi massal semua perangkat lunak dari x86 ke M1, menciptakan emulator Rosetta 2 .
Banyak program asli berjalan sedikit lebih cepat di bawah M1 daripada perangkat lunak emulator biasa, tetapi perbedaannya tidak begitu sensitif sehingga membingungkan pengguna.
Tapi penjahat dunia maya yang mengembangkan malware untuk M1 memutuskanbahwa aplikasi asli juga diperlukan, karena dalam hal ini pengguna bahkan tidak akan memperhatikan waktu tunda. Semuanya bekerja dengan cepat, sistem tidak melambat, yang berarti sulit untuk mencurigai kinerja operasi pihak ketiga oleh komputer Anda sendiri.
Apa software ini dan bagaimana cara menemukannya?
Spesialis keamanan informasi Patrick Wardle menggunakan akun VirusTotal peneliti untuk mencari contoh malware asli M1. Dia menjalankan permintaan ini:
type: macho tag: arm tag: 64bits tag: multi-arch tag: signed positif: 2 +
Ini berarti sesuatu seperti βApple menandatangani multiarch executable yang menyertakan kode ARM 64-bit dan telah terlihat setidaknya dua anti sistem -virus ".
Wardle telah melakukan pekerjaan berskala besar untuk mencari malware M1. Dia akhirnya menemukan ekstensi Safari yang disebut GoSearch22. File Info.plist dari app bundle menunjukkan bahwa itu memang aplikasi MacOS (bukan iOS).
Malware tersebut ditandatangani oleh developer ID hongsheng_yan pada November 2020. Sertifikat telah dicabut, tetapi tidak diketahui secara pasti mengapa Apple melakukannya - ada kemungkinan bahwa perusahaan tersebut menemukan tindakan ilegal pengembang atau penggunaan sertifikatnya untuk kepentingan penyerang.
Dapat diasumsikan bahwa ID telah dicabut karena ekstensi tersebut membantu penjahat dunia maya menginfeksi sistem korban. Seseorang memperhatikan masalah tersebut dan perwakilan perusahaan mengambil tindakan.
Jadi apa yang dilakukan GoSearch22?
Seperti yang disebutkan di atas, malware ini adalah anggota dari keluarga Pirrit Mac. Ini adalah keluarga yang sangat "kuno", bisa dikatakan. Awalnya, perwakilannya bekerja di bawah Windows, tetapi kemudian dipindahkan ke Mac - untuk pertama kalinya hal ini terjadi pada 2017.
Ekstensi jahat yang terdeteksi memasang Trojan yang menampilkan iklan dari penjahat dunia maya. Seluruh halaman benar-benar tersumbat oleh iklan. Ditambah halaman pencarian diganti, beberapa "bonus" dapat diinstal.
Pirrit dilengkapi dengan sistem bypass aplikasi anti-virus, yang membantu malware secara diam-diam melanjutkan bisnis gelapnya. Pirrit juga mencari dan menghapus aplikasi dan ekstensi browser yang mungkin mengganggunya. Selain itu, dia berusaha mendapatkan akses root. Kode virus disamarkan untuk mempersulit pengguna dan pakar keamanan informasi.
Tanpa ragu, dalam waktu dekat kita akan melihat salinan baru dari perangkat lunak tersebut, asli dari M1. GoSearch22 hanyalah permulaan.
