首个为苹果M1 芯片设计的恶意软件
2020年11月,苹果公司发布了基于Apple Silicon M1 SoC芯片打造的新Mac产品,这标志着苹果正式开启了从Intel的x86 CPU过渡到该公司自己基于Arm架构设计的内部产品。2021年2月,研究人员发现了首个专门为苹果M1 芯片设计的恶意软件样本,这表明攻击者已经开始修改现有恶意软件来攻击企业中使用M1芯片的最新版本的Mac 设备了。
macOS 安全研究人员Patrick Wardle说,苹果新M1 芯片的设计要求开发者开发新版本的APP 来获得更好的性能和适配性,与此同时,恶意软件作者也采取了类似的措施来构建恶意软件,以达到在苹果最新的M1 芯片上执行恶意软件的目的。
该恶意软件是一个名为GoSearch22的Safari 广告恶意软件扩展,原来是运行在Intel x86芯片上,后来被迁移到了基于ARM的M1 芯片上。该恶意软件是Pirrit 广告恶意软件的变种,最早出现在2020年11月23日,恶意样本上传到VirusTotal 的时间为12月27日。
研究人员经过分析确认了恶意软件开发者实际上开发了多架构的应用,所以其代码可以在M1 芯片系统上运行。恶意GoSearch22 应用应该是首个适配M1 芯片的恶意软件样本。
使用M1 芯片的Mac 设备在运行x86 软件时需要动态二进制翻译器Rosetta 的帮助,这不仅可以提升效率,还可以绕过对恶意软件的检测。
Pirrit是一个驻留的mac 恶意软件家族,最早出现在2016年,会向用户推送欺骗性的广告,用户点击后会下载和安装包含有信息收集功能的app。
GoSearch22 广告恶意软件是经过多重混淆的,会将自己伪装为合法的Safari 浏览器扩展,实际上会收集浏览数据并展示大量的广告,此外还会展示其他恶意软件的链接来分发恶意软件。
该扩展使用苹果开发者ID "hongsheng_yan"来签名,进一步隐藏了恶意内容,由于该ID 已经被吊销,也就是说该应用无法在macOS 上在运行,除非用另外一个证书对其再次签名。
GoSearch22 恶意软件的功能并不是全新的,也不是很危险,但是这是首个适配M1 芯片的恶意软件,这表明未来会有更多的攻击最新版本M1芯片 mac的恶意软件出现。
此外,研究人员还称,现有静态分析工具和反病毒引擎对arm64 二进制文件的检测能力非常有限,与Intel x86_64版本相比,准确率下降了15%。
完整技术分析参见:https://objective-see.com/blog/blog_0x62.html
本文翻译自:https://thehackernews.com/2021/02/first-malware-designed-for-apple-m1.html如若转载,请注明原文地址。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
GSMA刘鸿:5G专网谁来建?交给运营商来完成
5G具有高速率、大容量、低时延等特点,将为千行百业带来革命性的变化。相对而言,5G公网无法满足企业高安全、高稳定性等需求,所以5G专网建设将成大势所趋。随着5G商用的深入推进,5G专网需求迅速爆发,关于5G专网的建设模式、建设主体等问题,也成为业界讨论的热点话题。 2021 MWC上海期间,GSMA大中华区技术总经理刘鸿接受了通信世界全媒体记者的采访,他表示,5G专网建设并没有一定之规,需要具体情况具体分析。而运营商在5G专网建设方面优势突出,应该扮演核心角色。 刘鸿认为,5G专网是5G独立组网的一部分。中国在5G独立组网的标准制定、产品开发、网络商用等方面起到了全球引领作用。2020年,中国5G独立组网扬帆起航,全球最大规模的5G SA网络在中国商用落地,见证了5G独立组网对于千行百业的赋能作用。 一般而言,5G独立组网有三种实现方式:网络切片、NPN(企业专网)、虚拟专网。对于具体采用何种形式,刘鸿认为,要依据企业应用场景、安全需求而定。其中,安全是首要考虑因素,也是不同企业之间的主要差别所在。而哪怕同一家企业,在不同历史时期对于同一业务的需求也可能发生改变,对5G专网的选择也可能...
- 下一篇
消息的前生今世——从rabbimq的一条消息的生命周期引出的思考
作为中间件的杠把子选手,rabbimq在系统架构中承担着承上启下的作用,常问到,你们为何选用rabbimq?则答曰,为了削峰填谷,为了系统解耦合,为了提高系统性能。但这事是绝对的吗?用了这款软件就可以实现这个目的吗? 背景 RabbitMQ 是一个由Erlang 语言开发的AMQP 的开源实现。rabbitMQ是一款基于AMQP协议的消息中间件,它能够在应用之间提供可靠的消息传输。在易用性,扩展性,高可用性上表现优秀。使用消息中间件利于应用之间的解耦,生产者(客户端)无需知道消费者(服务端)的存在。而且两端可以使用不同的语言编写,大大提供了灵活性。 AMQP,即Advanced Message Queuing Protocol,一个提供统一消息服务的应用层标准高级消息队列协议,是应用层协议的一个开放标准,为面向消息的中间件设计。 消息的前生 消息是贯穿这个这款中间件服务的脉络,我们不妨通过一条消息来推演窥探整个rabbimq的设计思想,站在前人的肩膀上,看看这款软件的先进设计。 何谓消息 即信息,生产者产生的数据,这些数据记录着生产端产生的业务日志,将会被投递到后端进行处理。 何谓消息...
相关文章
文章评论
共有0条评论来说两句吧...