Один из доводов «маководов» в пользу своей системы — то, что под нее крайне мало зловредного ПО. А то, что есть, нужно запускать едва ли не вручную, с обходом всех систем защиты, поэтому опасности большинство зловредов под Mac не представляют. Но MacOS становится все популярнее, а значит, и злоумышленники активизируются. Тем более, что большинство пользователей MacOS имеют банковские счета и деньги на них. Так что с них есть что взять.
Так, если раньше доля MacOS составляла 6,5% (примерно 10 лет назад), то сейчас это уже пятая часть рынка, 20%. Соответственно, уже есть смысл создавать зловредное ПО, поскольку пользователей у MacOS — миллионы. Этим киберпреступники сейчас и занялись.
Более того, Apple выпустила несколько систем на основе нового чипа M1, так что злоумышленники активно принялись изучать этот чип и его возможности. Первые результаты уже появились. Специалист по информационной безопасности Патрик Уордл на днях опубликовал результаты изучения зловредного расширения для Safari, «заточенного» исключительно под M1. Это расширение входит в семейство Adware под Mac, которое называется Pirrit Mac.
Apple M1, malware и пользователи
Как известно, ISA у процессоров ARM очень сильно отличается от того, что есть у традиционных x86 процессоров. Прежде всего, это означает необходимость использования эмулятора для запуска x86-софта на системах с ARM-процессором. Разработчики Apple, прекрасно понимая невозможность массовой миграции всего ПО с x86 на M1, создали эмулятор Rosetta 2.
Многие нативные программы работают под M1 чуть быстрее, чем обычный софт на эмуляторе, но разница не настолько чувствительна, чтобы смутить пользователя.
Но злоумышленники, которые разрабатывают зловреды под M1, решили, что нативные приложения тоже нужны, ведь в этом случае пользователь не заметит даже задержки во времени. Все работает быстро, система не подтормаживает, а значит, заподозрить выполнение сторонних операций собственным компьютером сложно.
Что это за ПО и как его обнаружили?
Специалист по информационной безопасности Патрик Уордл использовал учетную запись исследователя на VirusTotal для поиска экземпляров нативного для M1 вредоносного ПО. Он выполнил вот такой запрос:
type: macho tag: arm tag: 64bits tag: multi-arch tag: signed positives: 2 +
Это означает нечто вроде «подписанные мультиархитектурные исполняемые файлы Apple, которые включают 64-битный код ARM и были замечены как минимум двумя антивирусными системами».
Уордл провел достаточно масштабную работу по поиску зловредов под М1. В конце концов он нашел расширение Safari под названием GoSearch22. Файл Info.plist пакета приложений показал, что это действительно приложение для MacOS (а не для iOS).
Зловред был подписан сертификатом разработчика ID hongsheng_yan в ноябре 2020 года. Серфикат уже отозван, но точно неизвестно, почему Apple это сделала — возможно, компания обнаружила неправомерные действия разработчика или использование его сертификата в интересах злоумышленников.
Можно предположить, что ID отозвали потому, что расширение все же помогло киберпреступникам инфицировать системы жертв. Кто-то заметил проблему, и представители компании приняли меры.
Так а что делает GoSearch22?
Как и говорилось выше, этот зловред — член семейства Pirrit Mac. Это очень «древнее» семейство, если можно так выразиться. Изначально его представители работали под Windows, но потом были портированы под Mac — впервые это случилось в 2017 году.
Обнаруженное зловредное расширение устанавливало троян, которое отображает рекламу от злоумышленников. Рекламой забивается буквально вся страница. Плюс заменяется поисковая страница, может устанавливаться пара каких-нибудь «бонусов».
Pirrit оснащается системой обхода антивирусных приложений, и это помогает зловреду скрытно продолжать свое темное дело. А еще Pirrit ищет и удаляет приложения и расширения браузера, которые могут ему мешать. Более того, он добивается получения root-доступа. Код вируса обфусцирован, чтобы еще больше усложнить жизнь пользователю и специалистам по ИБ.
Без сомнения, в ближайшем будущем мы увидим новые экземпляры подобного ПО, нативного для М1. GoSearch22 — это только начало.
