Skadevare til Mac

Nå finnes det skadevare spesifikt designet for Apples nye prosessorbrikker

Hackere retter seg mot Apples egne M1-brikker.

Skadevare designet for Apples nye M1-brikker er oppdaget.
Skadevare designet for Apples nye M1-brikker er oppdaget. (Foto: Colourbox/27131526)

Hackere retter seg mot Apples egne M1-brikker.

Med de seneste Mac-modellene som ble lansert på tampen av fjoråret introduserte Apple sine egendesignede, ARM-baserte prosessorbrikker M1. Det innebar også at hackere med interesse for Mac-plattformen måtte tenke nytt, og det har de nå gjort, viser det seg.

En sikkerhetsforsker som spesialiserer seg på Mac-skadevare, Patrick Wardle, meddelte nylig på bloggen sin (via Engadget) at han har sporet opp skadevare som er spesifikt designet for de nye M1-brikkene.

Ondsinnet Safari-utvidelse

Wardle fant skadevaren etter et etterforskningsarbeid som innebar å gå gjennom koden til programmer lastet opp på Virustotal.

Virustotal er en Google-eid tjeneste som samler mange antivirusverktøy på ett sted og som brukes til å analysere mistenkelige filer som brukerens antivirus-programmer ikke har plukket opp.

Sikkerhetsforskeren trålte etter MacOS-programmer med native M1-kode, altså arm64-kode, som er designet for å kjøre på M1-systemene uten å først oversettes fra x86-koden. Wardle fant etter hvert frem til et program ved navn Gosearch22, en ondsinnet utvidelse til Apple-nettleseren Safari.

Utvidelsen er ifølge forskeren en variant av Pirrit, en gammel og kjent adware-programvare som først dukket opp til Windows, men som senere fant veien til MacOS-plattformen.

Programvaren fungerer ved å blant annet vise uønskede annonser og promotere tvilsomme nettsider, og den samler også inn søkedata og andre data fra brukeren. Den bruker flere metoder for å holde seg skjult, og kan oppdage om den kjører på virtuelle maskiner.

Som sikkerhetsselskapet Cybereason påpekte i en omtale av programvaren allerede i 2017 kjører programvaren også under rotprivilegier.

Lavere sjanse til å bli oppdaget

– I dag bekreftet vi at ondsinnede aktører bygger multiarkitektur-applikasjoner, slik at koden deres kan kjøres på M1-systemer. Den ondsinnede Gosearch22-applikasjonen kan være det første eksempelet på slik native M1-kompatibel kode, skriver Wardle.

Eksisterende skadevare til MacOS-plattformen er riktignok kompatibel med M1-maskinene selv om den ikke er native. Som sikkerhetsforskeren peker på har ondsinnede aktører imidlertid flere fordeler, ikke minst ytelsesmessige, ved å lage skadevare spesifikt tilpasset arkitekturen – på samme måte som for vanlige utviklere.

I tillegg kan Rosetta-oversetteren inneholde feil som kan forhindre eldre applikasjoner fra å kjøre riktig, noe også ondsinnede utviklere har interesse av å unngå.

En annen viktig erfaring som Wardle gjorde seg i arbeidet er at analyse- og  antivirus-verktøy har lavere sjanse til å fange opp arm64-kode til tross for at denne er logisk identisk med x86-versjonen. Forskeren skriver at arm64-versjonen hadde 15 prosent lavere deteksjonsrate ved skanning med flere av de ledende verktøyene.

Flere tekniske detaljer finner du på bloggen.

Les også

Kommentarer (0)

Kommentarer (0)
Til toppen