El malware para Mac siempre ha sido menos común que sus contrapartes dirigidas a Windows, pero en los últimos años la amenaza para las computadoras Apple se ha generalizado.
Hay programas publicitarios e incluso ransomware diseñados para Mac y los atacantes siempre buscan eludir las últimas defensas de Apple.
Ahora, los piratas informáticos han presentado malware diseñado para ejecutarse en los nuevos procesadores M1 basados en ARM de Apple; y al parecer, han logrado afectar a MacBook Pro, MacBook Air y Mac Mini.
El chip M1 de Apple es una desviación de la arquitectura Intel x86 que Apple ha utilizado desde 2005 y le da a Apple la oportunidad de integrar protecciones y funciones de seguridad específicas de Mac directamente en sus procesadores.
Esa transición, ha requerido que los desarrolladores legítimos trabajen en la creación de versiones del software que se ejecuta “de forma nativa” en M1 para obtener un rendimiento óptimo en lugar de tener que traducirse a través de un emulador del emulador Rosetta 2.
Para no quedarse atrás, los creadores de malware, también han comenzado a hacer la transición.
El investigador de seguridad de Mac, Patrick Wardle, publicó el miércoles el hallazgo de una extensión de software publicitario para Safari que se escribió originalmente para ejecutarse en chips Intel x86, pero que ahora se ha vuelto a desarrollar específicamente para M1.
La extensión maliciosa, es denominada GoSearch22.
“Esto muestra que los autores de malware están evolucionando y adaptándose para mantenerse al día con el último hardware y software de Apple”, dice Wardle.
Investigadores de la firma de seguridad Red Canary también han confirmado, que están investigando un ejemplo de malware nativo centrado en el chip M1.
Dado que los chips ARM de Apple son el futuro de los procesadores Mac, era inevitable que los autores de malware eventualmente comenzaran a escribir código exclusivamente para ellos.
Alguien cargó el Adware personalizado en la plataforma de prueba de antivirus de VirusTotal a finales de diciembre, y eso fue poco más de un mes después de que vieran la luz, las computadoras portátiles M1.
Muchos investigadores y organizaciones cargan de forma rutinaria muestras de malware en VirusTotal de forma automática o como algo habitual.
La muestra de adware que Wardle encontró allí, toma una táctica estándar de hacerse pasar por una extensión legítima del navegador Safari y luego recopilar datos del usuario y publicar anuncios ilícitos como ventanas emergentes, incluidos otros enlaces que se vinculan a más sitios maliciosos.
Apple se negó a comentar sobre el hallazgo. Wardle dice que el adware se firmó con un ID de desarrollador de Apple, una cuenta pagada que permite a Apple realizar un seguimiento de todos los desarrolladores de Mac e iOS.
Desde Apple, han revocado el certificado a GoSearch22.
El investigador de seguridad de Malwarebytes Mac, Thomas Reed, está de acuerdo con la evaluación de Wardle de que el adware no era muy novedoso en sí mismo.
Pero agrega, que es importante que los investigadores de seguridad sean conscientes de que el malware nativo exclusivamente enfocado en M1, ya existe.
“Definitivamente era inevitable: Compilar para M1 puede ser tan fácil como presionar un interruptor en la configuración del proyecto” + “Sinceramente, no me sorprende en absoluto que haya sucedido primero desde Pirrit. Esa es una de las familias de programas publicitarios de Mac más activas, y una de las más antiguas, y cambia constantemente para evadir la detección” dice Reed.
La extensión maliciosa de Safari tiene algunas características anti-análisis, incluida la lógica para tratar de evitar las herramientas de depuración.
“Ciertas herramientas defensivas como los motores de antivirus tienen dificultades para procesar este ‘nuevo’ formato de archivo binario” + “Pueden detectar fácilmente la versión Intel-x86, pero no pudieron detectar la versión ARM-M1, a pesar de que el código es lógicamente idéntico”, dice Wardle.
Pero Wardle descubrió que, si bien el conjunto de escáneres antivirus de VirusTotal detecta fácilmente la versión x86 del Adware como maliciosa, hubo una caída del 15 por ciento en la detección de la versión para M1.
Fuente: Wired