Tietoturvatutkija löysi ensimmäisen Arm-natiivin macOS-haittaohjelman

[Kaotik]

Kaotik kirjoitti uutisen/artikkelin:
Apple julkaisi viime vuonna uuden M1-järjestelmäpiirin ensimmäisenä palana kaksivuotissuunnitelmaa siirtyä Intelin x86-prosessoreista yhtiön itse suunnittelemiin Arm-järjestelmäpiireihin. Muutos ei jäänyt huomaamatta myöskään haittaohjelmapuolella.

Applen macOS-käyttöjärjestelmään erikoistunut tietoturvatutkija Patrick Wardle kertoo löytäneensä ensimmäisen Arm-natiivin macOS-haittaohjelman. Tarkemmin kyse on Safari-selaimelle suunnitellun ja alun perin x86-arkkitehtuurille kehitetyn vihamielisen GoSearch22-laajennoksen uudesta Arm-natiivista versiosta. VirusTotaliin ladattuna myös Arm-versio tunnistettiin useiden testiohjelmien toimesta haitalliseksi, mutta oikein tunnistaneita palveluita oli 15 % vähemmän, kuin saman haitakkeen x86-versiolla. NSA:n leivissäkin työskennelleen Wardlen mukaan GoSearch22-laajennosta käytetään ilmeisesti osana mainoksia levittävää Pirrit-haittaohjelmistoa (adware).

MalwareBytesin hiljattain julkaiseman raportin mukaan ilmassa ei ole kuitenkaan selkeitä merkkejä macOS-hyökkäysten yleistymisestä. Yrityskäyttäjiin kohdistuneet macOS-hyökkäykset ovat yleistyneet viime vuonna peräti 31 %, mutta toisaalta kuluttajiin kohdistuneet hyökkäykset ovat laskeneet 40 prosenttia. Ylivoimaisesti suurin osa eli jopa 76 % macOS-hyökkäyksistä kuuluu ns. PUP- eli Potentially Unwanted Program -kategoriaan, kun 22 % on GoSearch22:n tapaan mainoshaitakkeita ja vain 1.5 % perinteisiä haittaohjelmia (malware).

Lähteet: HotHardware, MalwareBytes

Linkki alkuperäiseen juttuun

 

[user9999]

Patrick Wardlen blogi tuosta haittaohjelmasta

Arm'd & Dangerous

objective-see.com

 

[Kaotik]

New macOS malware discovered, but threat remains unknown

The malware—identified by Red Canary researchers—has been found in 153 countries, with concentrations in the United States, the United Kingdom, Canada, France, and Germany. According to the...

www.techspot.com

Lisää pukkaa, levinnyt maailmanlaajuisesti yli 30 000 Maciin, mutta toistaiseksi ei ole tehnyt mitään varsinaista harmia. Haittaohjelma kuitenkin "soittaa kotiin" kerran tunnissa, joten potentiaalia olisi ilmeisesti muuhunkin.
Haittaohjelma käyttäytyy myös eri tavoin eri Maceissa: Intel-pohjaisissa ruudulle pamahtaa Hello World -ikkuna, mutta Arm-Maceilla ikkunan sisältö on punainen ja teksti "You did it".

 

[user9999]

Näköjään tuosta kaksi versiota:

1. The first version contained a Mach-O binary compiled for Intel x86_64 architecture only
2. In the second version, the adversary included a Mach-O binary compiled for both Intel x86_64 and M1 ARM64 architectures

Apple peruuttanut molempien sertifikaatit

Malware Version 1
Developer ID Saotia Seay (5834W6MYX3) – v1 bystander binary signature revoked by Apple
Malware Version 2
Developer ID Julie Willey (MSZ3ZH74RK) – v2 bystander binary signature revoked by Apple

Eli kun sertifikaatit peruttu niin tuo haittaohjelma ei asennu enää uusiin koneisiin. Tietysti jos hyökkääjä allekirjoittaa sen uudella toisella sertifikaatilla.

Silver Sparrow macOS malware with M1 compatibility

Silver Sparrow includes a binary compiled to run on Apple’s new M1 chips but lacks one very important feature: a payload

redcanary.com