2020年11月，蘋果公司發布了基于Apple Silicon M1 SoC芯片打造的新Mac產品，這標志著蘋果正式開啟了從Intel的x86 CPU過渡到該公司自己基于Arm架構設計的內部產品。2021年2月，研究人員發現了首個專門為蘋果M1 芯片設計的惡意軟件樣本，這表明攻擊者已經開始修改現有惡意軟件來攻擊企業中使用M1芯片的最新版本的Mac 設備了。

macOS 安全研究人員Patrick Wardle說，蘋果新M1 芯片的設計要求開發者開發新版本的APP 來獲得更好的性能和適配性，與此同時，惡意軟件作者也采取了類似的措施來構建惡意軟件，以達到在蘋果最新的M1 芯片上執行惡意軟件的目的。

該惡意軟件是一個名為GoSearch22的Safari 廣告惡意軟件擴展，原來是運行在Intel x86芯片上，后來被遷移到了基于ARM的M1 芯片上。該惡意軟件是Pirrit 廣告惡意軟件的變種，最早出現在2020年11月23日，惡意樣本上傳到VirusTotal 的時間為12月27日。

研究人員經過分析確認了惡意軟件開發者實際上開發了多架構的應用，所以其代碼可以在M1 芯片系統上運行。惡意GoSearch22 應用應該是首個適配M1 芯片的惡意軟件樣本。

使用M1 芯片的Mac 設備在運行x86 軟件時需要動態二進制翻譯器Rosetta 的幫助，這不僅可以提升效率，還可以繞過對惡意軟件的檢測。

Pirrit是一個駐留的mac 惡意軟件家族，最早出現在2016年，會向用戶推送欺騙性的廣告，用戶點擊后會下載和安裝包含有信息收集功能的app。

GoSearch22 廣告惡意軟件是經過多重混淆的，會將自己偽裝為合法的Safari 瀏覽器擴展，實際上會收集瀏覽數據并展示大量的廣告，此外還會展示其他惡意軟件的鏈接來分發惡意軟件。

該擴展使用蘋果開發者ID "hongsheng_yan"來簽名，進一步隱藏了惡意內容，由于該ID 已經被吊銷，也就是說該應用無法在macOS 上在運行，除非用另外一個證書對其再次簽名。

GoSearch22 惡意軟件的功能并不是全新的，也不是很危險，但是這是首個適配M1 芯片的惡意軟件，這表明未來會有更多的攻擊最新版本M1芯片 mac的惡意軟件出現。

此外，研究人員還稱，現有靜態分析工具和反病毒引擎對arm64 二進制文件的檢測能力非常有限，與Intel x86_64版本相比，準確率下降了15%。

完整技術分析參見：https://objective-see.com/blog/blog_0x62.html

本文翻譯自：https://thehackernews.com/2021/02/first-malware-designed-for-apple-m1.html如若轉載，請注明原文地址。