El malware ahora apunta al nuevo procesador M1 de Apple

El malware para Mac siempre ha sido menos común que sus contrapartes dirigidas a Windows, pero en los últimos años la amenaza para las computadoras Apple se ha generalizado.

Hay programas publicitarios e incluso ransomware diseñados para Mac y los atacantes siempre buscan eludir las últimas defensas de Apple.

Ahora, los piratas informáticos han presentado malware diseñado para ejecutarse en los nuevos procesadores M1 basados ​​en ARM de Apple; y al parecer, han logrado afectar a MacBook Pro, MacBook Air y Mac Mini.

El chip M1 de Apple es una desviación de la arquitectura Intel x86 que Apple ha utilizado desde 2005 y le da a Apple la oportunidad de integrar protecciones y funciones de seguridad específicas de Mac directamente en sus procesadores.

Esa transición, ha requerido que los desarrolladores legítimos trabajen en la creación de versiones del software que se ejecuta “de forma nativa” en M1 para obtener un rendimiento óptimo en lugar de tener que traducirse a través de un emulador del emulador Rosetta 2.

Para no quedarse atrás, los creadores de malware, también han comenzado a hacer la transición.

El investigador de seguridad de Mac, Patrick Wardle, publicó el miércoles el hallazgo de una extensión de software publicitario para Safari que se escribió originalmente para ejecutarse en chips Intel x86, pero que ahora se ha vuelto a desarrollar específicamente para M1.

La extensión maliciosa, es denominada GoSearch22.

“Esto muestra que los autores de malware están evolucionando y adaptándose para mantenerse al día con el último hardware y software de Apple”, dice Wardle.

Investigadores de la firma de seguridad Red Canary también han confirmado, que están investigando un ejemplo de malware nativo centrado en el chip M1.

Dado que los chips ARM de Apple son el futuro de los procesadores Mac, era inevitable que los autores de malware eventualmente comenzaran a escribir código exclusivamente para ellos.

Alguien cargó el Adware personalizado en la plataforma de prueba de antivirus de VirusTotal a finales de diciembre, y eso fue poco más de un mes después de que vieran la luz, las computadoras portátiles M1.

Muchos investigadores y organizaciones cargan de forma rutinaria muestras de malware en VirusTotal de forma automática o como algo habitual.

La muestra de adware que Wardle encontró allí, toma una táctica estándar de hacerse pasar por una extensión legítima del navegador Safari y luego recopilar datos del usuario y publicar anuncios ilícitos como ventanas emergentes, incluidos otros enlaces que se vinculan a más sitios maliciosos.

Apple se negó a comentar sobre el hallazgo. Wardle dice que el adware se firmó con un ID de desarrollador de Apple, una cuenta pagada que permite a Apple realizar un seguimiento de todos los desarrolladores de Mac e iOS.

Desde Apple, han revocado el certificado a GoSearch22.

El investigador de seguridad de Malwarebytes Mac, Thomas Reed, está de acuerdo con la evaluación de Wardle de que el adware no era muy novedoso en sí mismo.

Pero agrega, que es importante que los investigadores de seguridad sean conscientes de que el malware nativo exclusivamente enfocado en M1, ya existe.

“Definitivamente era inevitable: Compilar para M1 puede ser tan fácil como presionar un interruptor en la configuración del proyecto” + “Sinceramente, no me sorprende en absoluto que haya sucedido primero desde Pirrit. Esa es una de las familias de programas publicitarios de Mac más activas, y una de las más antiguas, y cambia constantemente para evadir la detección” dice Reed.

La extensión maliciosa de Safari tiene algunas características anti-análisis, incluida la lógica para tratar de evitar las herramientas de depuración.

“Ciertas herramientas defensivas como los motores de antivirus tienen dificultades para procesar este ‘nuevo’ formato de archivo binario” + “Pueden detectar fácilmente la versión Intel-x86, pero no pudieron detectar la versión ARM-M1, a pesar de que el código es lógicamente idéntico”, dice Wardle.

Pero Wardle descubrió que, si bien el conjunto de escáneres antivirus de VirusTotal detecta fácilmente la versión x86 del Adware como maliciosa, hubo una caída del 15 por ciento en la detección de la versión para M1.

Fuente: Wired

Artículos Relacionados
30.000 Organizaciones hackeadas por un ataque a través de Microsoft Exchange Server

En los últimos días, al menos 30.000 organizaciones en los Estados Unidos, incluida una cantidad significativa de pequeñas empresas, pueblos, ciudades y gobiernos locales; han sido pirateadas por una unidad de ciberespionaje china inusualmente agresiva que se enfoca en robar correos electrónicos de organizaciones. ¡SEGUIR LEYENDO!

Nvidia y Microsoft se unen para construir una enorme computadora en la nube

El miércoles, Nvidia anunció una colaboración con Microsoft para construir una computadora masiva en la nube centrada en la IA. Según se informa, utilizará decenas de miles de GPU Nvidia de gama alta para aplicaciones como aprendizaje profundo y modelos de lenguaje. Las compañías ¡SEGUIR LEYENDO!

Amazon anuncia 300.000 bases de datos migradas a través de su herramienta DMS

En el intento de Amazon por liderar el mundo de las bases de datos y ser capaz de superar a Oracle, Amazon anuncia que ha alcanzado las 300.000 migraciones de bases de datos. Desde Amazon Web Services anuncian que más de 300.000 bases de ¡SEGUIR LEYENDO!

El Corredor de criptomonedas Genesis contrata a un Asesor de Recuperación: Expertos ya hablan de una posible bancarrota

El trading de criptomonedas Genesis, se ha visto presionado por los acreedores debido a problemas de liquidez tras el colapso del intercambio de criptomonedas FTX, recurrió al banco de inversión Moelis & Company en busca de ayuda para explorar opciones para salir de la ¡SEGUIR LEYENDO!

Windows 365 Cloud ahora se puede utilizar sin conexión

Microsoft realizó un evento virtual en el que anunció sus planes para integrar el sistema operativo Windows 11 con el servicio en la nube de Windows 365. La mayor novedad es que se permitirá a los clientes usar escritorios virtuales. El gigante del software ¡SEGUIR LEYENDO!

Instagram podría poner fin a la prohibición de que las mujeres muestren sus pezones

Meta podría liberar a los pezones, ¡Sí, este es un artículo sobre senos! ¿Por qué? Pues bien, porque por fin la campaña Free the nipples parece haber llegado a los oídos de Facebook e Instagram. https://ciberninjas.com/directiva-meta-sugiere-eliminar-privilegios-usuarios-populares/ Más de una década después de que las ¡SEGUIR LEYENDO!

La capa social es irónicamente clave para la seguridad de Bitcoin

Sobre la seguridad del mundo de las criptomonedas y la necesidad de generar una capa social en el núcleo y alrededor de las mismas. Por Galen Moore.