幾個月前，蘋果發(fā)布了新的MacBook Air，MacBook Pro和Mac Mini，它們均基于基于ARM的CPU Apple M1。但是，看起來新設(shè)備并沒有被黑客所幸免。在最近由Wired(通過ArsTechnica)進(jìn)行的一次采訪中，Mac安全研究員Patrick Wardle發(fā)現(xiàn)了長期運(yùn)行的以Mac為目標(biāo)的Pirrit廣告軟件系列的M1本機(jī)版本。

已經(jīng)提到，大多數(shù)現(xiàn)有的macOS惡意軟件都可以通過Rosetta 2在配備M1的Mac設(shè)備上運(yùn)行。此外，多位作者并不關(guān)心設(shè)備中的CPU周期。但是，直接針對芯片組定位廣告軟件仍然有一些好處。代碼越有效，發(fā)現(xiàn)就越困難。

Wardle使用VirusTotal的研究人員帳戶查找基于M1的惡意軟件。盡管搜索結(jié)果主要是針對iOS的惡意軟件，但Wardle還是設(shè)法找到了一個名為GoSearch22的Safari擴(kuò)展。據(jù)報道，該應(yīng)用程序捆綁了Info.plist文件，以確認(rèn)它確實是macOS應(yīng)用程序，而不是iOS。

該應(yīng)用程序已于2020年11月與Apple開發(fā)人員ID“ hongsheng_yan”簽署。但是，由于該公司已吊銷證書，因此不確定Apple是否對它進(jìn)行了公證。由于證書已被吊銷，因此GoSearch22的版本將不再在macOS上運(yùn)行。直到作者設(shè)法用另一個開發(fā)者密鑰對其進(jìn)行簽名為止。

如報告中所述，GoSearch22 Wardle發(fā)現(xiàn)了24個不同的惡意軟件檢測引擎，其中17個是“通用”的，而其余7個與Pirrit廣告軟件系列的簽名相匹配。

對于那些不了解的人，Pirrit是一個長期運(yùn)行的惡意軟件家族，始于Windows，但最終進(jìn)入了macOS。研究人員于2016年首次報告了其在macOS上的存在。用戶安裝基于Pirrit的軟件后，該軟件的范圍可能從偽造的視頻播放器到PDF閱讀器，或者是safari擴(kuò)展程序，在這種情況下，用戶的默認(rèn)引擎是變成了不同而無益的東西。

此外，跟蹤他們的Web瀏覽器使用情況，并在訪問的網(wǎng)頁上塞滿不需要的廣告。安裝后，該惡意軟件會使用技巧來保持安裝狀態(tài)并未被發(fā)現(xiàn)。該惡意軟件還會找出并刪除可能會干擾它的應(yīng)用程序和瀏覽器擴(kuò)展。