首次为苹果M1芯片设计的恶意软件在野外被发现

苹果M1芯片上最早的恶意软件样本之一已经被发现，这表明一项新的发展表明，不良行为者已经开始调整恶意软件，以针对该公司最新一代由自己的处理器驱动的Mac电脑。

macOS安全研究员帕特里克·沃德尔（Patrick Wardle）表示，虽然向Apple silicon的过渡要求开发者开发新版本的应用程序，以确保更好的性能和兼容性，但恶意软件作者现在正在采取类似的步骤，以构建能够在苹果新的M1系统上本机执行的恶意软件。

Wardle详细介绍了一个名为GoSearch22的Safari广告软件扩展，该扩展最初是为在英特尔x86芯片上运行而编写的，但后来被移植到基于ARM的M1芯片上运行。12月27日上传到VirusTotal的一个样本显示，rogue extension是Pirrit广告恶意软件的变种，于2020年11月23日首次在野外出现。

沃德尔在昨天发表的一篇文章中说：“今天我们确认，恶意对手确实在设计多体系结构的应用程序，以便他们的代码在M1系统上本机运行。”。“恶意的GoSearch22应用程序可能是此类本机兼容代码的第一个示例。”

虽然M1 Mac可以在名为Rosetta的动态二进制转换器的帮助下运行x86软件，但本机支持的好处不仅意味着效率的提高，还意味着在不引起任何不必要注意的情况下保持低调的可能性增加。

Pirrit最早记录于2016年，是一个持久的Mac广告软件家族，因向用户推送侵入性和欺骗性广告而臭名昭著，用户点击后，会下载并安装带有信息收集功能的不需要的应用程序。

就其本身而言，经过严重混淆的GoSearch22广告软件将自己伪装成合法的Safari浏览器扩展，实际上，它收集浏览数据，并提供大量广告，如横幅和弹出窗口，包括一些链接到可疑网站以分发额外恶意软件的广告。

Wardle表示，为了进一步隐藏其恶意内容，该扩展于11月与苹果开发者ID“hongsheng_yan”签署，但后来被撤销，这意味着除非攻击者用另一个证书重新签署，否则该应用程序将不再在macOS上运行。

虽然这一发展突显了恶意软件如何继续发展，以直接响应这两种硬件变化，但沃德警告称，“静态”分析工具或防病毒引擎可能难以处理arm64二进制文件，“与英特尔x86_64版本相比，业界领先的安全软件的检测率下降了15%。

GoSearch22的恶意软件功能可能并不完全是新的或危险的，但这并不重要。如果说有什么区别的话，与M1兼容的新恶意软件的出现表明这只是一个开始，未来可能会出现更多变种。