این بدافزار در حال حاضر پردازنده جدید M1 اپل را هدف قرار داده است


بدافزار Mac دارای همیشه کمتر از نمونه های مورد هدف ویندوز خود بوده است ، اما در سال های اخیر تهدید برای رایانه های اپل به یک تهدید بزرگ تبدیل شده است. نرم افزارهای تبلیغاتی و حتی باج افزاری برای Mac سازگار است و مهاجمان همیشه در تلاشند تا از جدیدترین محافظت های اپل استفاده کنند. هکرها اکنون بدافزارهایی را طراحی کرده اند که برای پردازنده های جدید M1 مبتنی بر ARM اپل طراحی شده است و در ماه نوامبر برای MacBook Pro ، MacBook Air و Mac Mini منتشر شده است.

تراشه M1 اپل دور از معماری Intel x86 است که اپل از سال 2005 استفاده می کند و به اپل اجازه می دهد تا از ویژگی های امنیتی و امنیتی خاص Mac مستقیم در پردازنده های خود استفاده کند. این انتقال به توسعه دهندگان قانونی نیاز دارد تا به جای ترجمه از طریق شبیه ساز اپل به نام Rosetta 2 ، روی ایجاد نسخه های نرم افزار خود که “بومی” بر روی M1 اجرا می شود ، کار کنند تا از این کار گذشته نباشند ، نویسندگان بدافزار انتقال را نیز آغاز کرده اند.

پاتریک واردل ، محقق دیرینه امنیت Mac ، چهارشنبه یافته ها را در مورد برنامه افزودنی تبلیغاتی Safari منتشر کرد که در ابتدا برای تراشه های Intel x86 نوشته شده بود اما اکنون به طور خاص برای M1 دوباره طراحی شده است. افزونه مخرب ، GoSearch22 ، عضوی از خانواده معروف نرم افزارهای تبلیغاتی Pirrit Mac است.

Wardle ، که همچنین ابزارهای محافظت از منبع باز Mac را توسعه می دهد ، گفت: “این نشان می دهد که توسعه دهندگان بدافزار در حال پیشرفت و سازگاری هستند تا با آخرین سخت افزار و نرم افزار اپل مطابقت داشته باشند.” “تا آنجا که من می دانم ، این اولین بار است که ما این را می بینیم.”

محققان شرکت امنیتی Red Canary به WIRED گفتند که آنها همچنین در حال تحقیق بر روی نمونه ای از بدافزار محلی M1 هستند که به نظر می رسد متفاوت از یافته Wardle باشد.

با توجه به اینکه تراشه های ARM اپل آینده پردازنده های Mac هستند ، اجتناب ناپذیر بود که نویسندگان بدافزار شروع به نوشتن کد فقط برای آنها کنند. شخصی بیش از یک ماه پس از ورود لپ تاپ های M1 در اواخر دسامبر ، نرم افزارهای تبلیغاتی تبلیغاتی سفارشی را بر روی پلت فرم آزمایش آنتی ویروس VirusTotal بارگذاری کرد. بسیاری از محققان و سازمان ها بطور منظم و بطور طبیعی نمونه های بدافزار را در VirusTotal بارگذاری می کنند. نمونه تبلیغات تبلیغاتی تاسیس شده توسط Wardle با استفاده از روشهای استاندارد خود را بعنوان پسوند قانونی مرورگر Safari نشان می دهد و سپس اطلاعات کاربر را جمع آوری می کند و تبلیغات غیرقانونی مانند بنرها و پنجره های بازشو را نمایش می دهد ، از جمله مواردی که منجر به سایتهای مخرب دیگر می شوند.

اپل از اظهار نظر در این باره خودداری کرد. واردل می گوید این نرم افزار تبلیغاتی با شناسه توسعه دهنده اپل ، یک حساب پولی که به اپل امکان ردیابی تمام توسعه دهندگان مک و iOS را دارد ، در 23 نوامبر امضا شده است. این شرکت از آن زمان گواهی GoSearch22 را لغو کرده است.

توماس رید ، محقق امنیت Malwarebytes Mac ، با Wardle موافق است که این نرم افزارهای تبلیغاتی به خودی خود چیز جدیدی نبودند. اما وی افزود که مهم است که محققان امنیتی آگاه باشند که بدافزار محلی M1 فقط نمی آید بلکه در اینجا موجود است.

رید می گوید: “قطعاً اجتناب ناپذیر بود – تدوین برای M1 می تواند به آسانی فشار دادن کلید در تنظیمات پروژه باشد.” و صادقانه بگویم ، من اصلاً تعجب نمی کنم که این اتفاق برای اولین بار در Pirrit رخ داده باشد. خانواده های تبلیغاتی مزاحم برای مک و یکی از قدیمی ترین آنها برای جلوگیری از کشف آنها دائماً در حال تغییر هستند.

پسوند Safari مخرب دارای برخی از ویژگی های تجزیه و تحلیل ، از جمله منطق ، برای جلوگیری از ابزارهای رفع اشکال است. اما Wardle دریافت که در حالی که مجموعه ویروس توتال از اسکنرهای آنتی ویروس به راحتی نسخه مبتنی بر x86 را به عنوان مخرب تشخیص می دهد ، در شناسایی نسخه M1 15 درصد افت وجود دارد.

واردل گفت: “برخی از ابزارهای امنیتی ، مانند ماشین های ضد ویروس ، در تلاشند تا این قالب پرونده” جدید “باینری را مدیریت كنند. “آنها به راحتی می توانند نسخه Intel-x86 را پیدا کنند ، اما نسخه ARM-M1 را پیدا نکردند ، حتی اگر کد از نظر منطقی یکسان باشد.”


منبع: sadeh-news.ir

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>