اولین بدافزار بهینه سازی شده برای Apple Silicon در طبیعت یافت شد

فوریه 7, 2024فوریه 17, 2021 از yupp2rfmj

این کشف توسط یک محقق امنیتی و بنیانگذار انجام شد هدف – ببینید، پاتریک واردل. در یک ساختارشکنی بسیار دقیقپاتریک توضیح داد که چگونه به دنبال بدافزار جدید مخصوص Apple Silicon است و چرا این بدافزار اهمیت دارد.

FTC: ما از لینک های وابسته خودکار درآمدزا استفاده می کنیم. بعد از.

در پایان، پاتریک نظراتی را در مورد اهمیت بدافزاری که توسط Apple Silicon ارائه می‌شود، به اشتراک می‌گذارد. اول، این شواهد عینی از سرعت تکامل کدهای مخرب در پاسخ به سخت افزار و نرم افزار جدید اپل است.

با انجام تحقیقات بیشتر، پاتریک توانست متوجه شود که بدافزار GoSearch22 بهینه سازی شده توسط اپل سیلیکون، نوعی از «بدافزار تبلیغاتی گسترده، اما نسبتاً موذیانه «Pirrit» است. و به طور خاص تر، به نظر می رسد این نمونه جدید با هدف “تداوم یک عامل راه اندازی” و “نصب به عنوان یک برنامه افزودنی مخرب سافاری” باشد.

اما فراتر از آن، مهمترین درک این است که ابزارهای فعلی ممکن است وظیفه دفاع در برابر بدافزارهای متمرکز بر arm64 macOS را نداشته باشند:

پاتریک در نهایت از یک حساب محقق رایگان در VirusTotal برای شروع شکار خود استفاده کرد. یکی از جنبه‌های مهم تعیین اینکه آیا واقعاً بدافزار سیلیکونی اپل وجود دارد یا خیر، حذف برنامه‌های جهانی بود که در واقع باینری‌های iOS هستند.

قبل از اینکه به دنبال بدافزار بومی M1 برویم، باید به این سوال پاسخ دهیم: “چگونه می توانیم بفهمیم که یک برنامه به صورت بومی برای M1 کامپایل شده است؟” خب خلاصه شامل کد arm64 میشه! خوب، و چگونه می توانیم این را تأیید کنیم؟

برای اخبار بیشتر اپل، 9to5Mac را در YouTube بررسی کنید:

مهم‌تر از همه، GoSearch22 بهینه‌سازی شده با سیلیکون اپل برای اولین بار در ۲۷ دسامبر، تنها چند هفته پس از عرضه اولین مک‌های M1 ظاهر شد. و پاتریک اشاره می کند که یک کاربر در واقع آن را با یکی از ابزارهای Objective-See به VirusTotal ارسال کرده است.

چرا مهم است

پس از گذراندن چند بررسی دیگر، پاتریک توانست تأیید کند که این بدافزار برای M1 Mac بهینه شده است.

پاتریک خاطرنشان می کند که اپل در این مرحله گواهی را باطل کرده است، بنابراین مشخص نیست که آیا اپل این کد را محضری کرده است یا خیر. اما به هر حال …

چیزی که ما می دانیم این است که این باینری در طبیعت شناسایی شده است (و توسط یک کاربر از طریق ابزار Objective-See ارسال شده است) … بنابراین چه تایید شده باشد یا نه، کاربران macOS آلوده شده اند.

دوم، و نگران‌کننده‌تر، ابزارهای اسکن (استاتیک) یا موتورهای ضد ویروس ممکن است با باینری‌های arm64 دچار مشکل شوند.

همچنین مهم است که توجه داشته باشید که GoSearch22 در 23 نوامبر 2020 با شناسه توسعه دهنده اپل (hongsheng yan) واقعاً امضا شده است:

همانطور که روی بازسازی ابزارهایم برای دستیابی به سازگاری بومی M1 کار می کردم، به این احتمال فکر کردم که نویسندگان بدافزار نیز زمان خود را به همین ترتیب سپری می کنند. در نهایت، بدافزار فقط یک نرم افزار است (هرچند مخرب)، بنابراین فکر کردم منطقی است که (در نهایت) ما شاهد بدافزاری باشیم که به صورت بومی در سیستم های جدید Apple M1 اجرا می شود.

هورا، بنابراین ما موفق شدیم یک برنامه macOS حاوی کد بومی M1 (arm64) پیدا کنیم که به عنوان مخرب شناسایی می شود! این تأیید می‌کند که نویسندگان بدافزار/آگهی‌افزار واقعاً تلاش می‌کنند تا اطمینان حاصل کنند که خلاقیت‌های مخرب آنها به‌طور بومی با آخرین سخت‌افزار اپل سازگار است. 🥲

[ad_2]

Source link

بخش اپل سیلیکون 9to5mac فارسی پس از محدود کردن مسائل، پاتریک دریافت که “GoSearch22” یک یافته جالب است.

First Apple Silicon optimized malware discovered in the wild

یک راه آسان، استفاده از ابزار فایل داخلی macOS (یا lipo-archs) است. با استفاده از این ابزار، می‌توانیم یک باینری را بررسی کنیم تا ببینیم آیا کد arm64 کامپایل شده دارد یا خیر.

پست فنی کامل را ببینید پاتریک در گل-اینجا را ببینید.

اولین مک‌های سیلیکون اپل تنها چند ماه است که عرضه شده‌اند و بخش خوبی از برنامه‌های محبوب با پشتیبانی بومی برای M1 MacBook Air، Pro و Mac mini به‌روزرسانی شده‌اند. نه چندان دور، چیزی که به نظر می رسد اولین بدافزار بهینه سازی شده برای Apple Silicon در طبیعت کشف شده است.