Le premier malware destiné à la puce M1 d'Apple a été découvert
L'un des premiers échantillons de logiciels malveillants conçus pour s'exécuter nativement sur les puces M1 d'Apple a été découvert, suggérant un nouveau développement qui indique que les cybercriminels ont commencé à adapter des logiciels malveillants pour cibler la dernière génération de Mac de l'entreprise alimentés par ses propres processeurs.
Alors que la transition vers le silicium Apple a obligé les développeurs à créer de nouvelles versions de leurs applications pour assurer de meilleures performances et une meilleure compatibilité, les auteurs de logiciels malveillants entreprennent maintenant des étapes similaires pour créer des logiciels malveillants capables de s'exécuter de manière native sur les nouveaux systèmes M1 d'Apple, selon un chercheur en sécurité macOS, Patrick Wardle.
Wardle a détaillé une extension de logiciel publicitaire Safari appelée GoSearch22 qui a été initialement écrite pour fonctionner sur des puces Intel x86, mais qui a depuis été portée pour fonctionner sur des puces M1 basées sur ARM. L'extension non autorisée, qui est une variante du malware publicitaire Pirrit, a été vue pour la première fois le 23 novembre 2020, selon un échantillon téléchargé sur VirusTotal le 27 décembre.
«Aujourd'hui, nous avons confirmé que des adversaires malveillants sont en train de créer des applications multi-architectures, de sorte que leur code fonctionnera nativement sur les systèmes M1», a déclaré Wardle dans un article publié hier.
Alors que les Mac M1 peuvent exécuter un logiciel x86 à l'aide d'un traducteur binaire dynamique appelé Rosetta, les avantages du support natif signifient non seulement des améliorations d'efficacité, mais également une probabilité accrue de rester sous le radar sans attirer l'attention indésirable.
L'adware GoSearch22 se déguise en extension de navigateur Safari légitime alors qu'en fait, il collecte des données de navigation et sert un grand nombre d'annonces telles que des bannières et des popups, y compris certaines qui renvoient à des sites Web douteux pour distribuer des logiciels malveillants supplémentaires.
Wardle a déclaré que l'extension avait été signée avec un identifiant de développeur Apple "hongsheng_yan" en novembre pour dissimuler davantage son contenu malveillant, mais qu'elle a depuis été révoquée, ce qui signifie que l'application ne fonctionnera plus sous macOS à moins que les attaquants ne la signent à nouveau avec un autre certificat.
Bien que le développement montre comment les logiciels malveillants continuent d'évoluer en réponse directe aux deux changements matériels, Wardle a averti que «les outils d'analyse (statique) ou les moteurs antivirus peuvent avoir du mal avec les binaires arm64», les détections provenant des logiciels de sécurité de pointe chutant de 15% par rapport à la version Intel x86_64.
Les capacités des logiciels malveillants comme GoSearch22 ne sont peut-être pas entièrement nouvelles ou dangereuses, mais ce n'est pas la question. Cela montre que l'émergence de nouveaux logiciels malveillants compatibles M1 n'est qu'un début, et d'autres variantes sont susceptibles d'apparaître à l'avenir.