Kurze Zeit nach der Auslieferung der Macs mit Apples neuen Silicon M1 Prozessoren ist erster Schadcode für die CPUs gesichtet worden.
Im November stellte Apple eine Reihe von Macs mit dem selbst entwickelten neuen Apple Silicon M1-Chips vor. Die Veröffentlichung der neuen Hardware erregte auch die Aufmerksamkeit einiger eifriger Cyberkrimineller. Sie sorgten für eine eigene Premiere, nämlich maßgeschneiderter Malware, für Geräte mit den neuen Apple-Chipsätzen.
Die neuen Geräte von Apple mit M1-Prozessoren verwenden eine ARM-basierte Architektur, im Gegensatz zur vorherigen Mac-Generation mit Intel x86-Prozessoren. Dies hat dazu geführt, dass für Macs entwickelte Anwendungen entweder über die Rosetta 2-Engine von Apple übersetzt oder neu codiert werden müssen, um nativ an den neuen Chips zu laufen.
In der Zwischenzeit waren Cyberkriminelle nicht untätig. Der Mac-Sicherheitsforscher Patrick Wardle hat Details zu einem Schadcode veröffentlicht, der speziell auf Computer mit Apple Silicon Prozessoren abzielt. Beim Durchkämmen von VirusTotal mit speziellen Suchfiltern konnte Wardle ein macOS-Programm identifizieren, das in nativem M1-Code geschrieben war und als bösartig eingestuft wurde. Die als GoSearch22 bezeichnete Anwendung ist eine Variante der Pirrit-Adware-Familie, einer verbreiteten, auf Mac-Nutzer abzielenden Bedrohung.
VERWANDTER ARTIKEL: Malware in Krypto‑Trading‑Software für MacOS
Anwendungen wie GoSearch22 zeigen unerwünschter Weise Gutscheine, Banner oder Popup-Anzeigen von fragwürdigen Webseiten. Es wurde jedoch auch beobachtet, dass sie Browserdaten oder andere potenziell sensible Informationen sammeln.
Die neue Version scheint sich selbst als böswillige Safari-Erweiterung zu installieren und als LaunchAgent Persistenz zu erlangen. Es ist bemerkenswert, dass der Malware-Stamm Ende Dezember 2020, nur einen Monat nach dem Start der neuen Mac-Computer, bei VirusTotal eingereicht wurde.
„Es hat sich bei der Analyse des VirusTotal-Samples herausgestellt, dass es (von einem Benutzer) direkt über eines der Tools von Objective-See (wahrscheinlich KnockKnock) übermittelt wurde… nachdem das Tool den Schadcode aufgrund seines Persistenzmechanismus markiert hat“, sagte Wardle. Dies bedeutet, dass die Malware in freier Wildbahn erkannt wurde und MacOS-Benutzer möglicherweise schon infiziert wurden.
„Heute haben wir bestätigt, dass böswillige Hacker tatsächlich Multi-Architektur-Malware erstellen, damit ihr Code nativ auf M1-Systemen ausgeführt wird. Die böswillige GoSearch22-Anwendung ist möglicherweise das erste Beispiel für einen solchen nativ M1-kompatiblen Code “, sagte er.
Hier können Sie mitdiskutieren