首个为苹果M1 芯片设计的恶意软件

2020年11月，苹果公司发布了基于Apple Silicon M1 SoC芯片打造的新Mac产品，这标志着苹果正式开启了从Intel的x86 CPU过渡到该公司自己基于Arm架构设计的内部产品。2021年2月，研究人员发现了首个专门为苹果M1 芯片设计的恶意软件样本，这表明攻击者已经开始修改现有恶意软件来攻击企业中使用M1芯片的最新版本的Mac 设备了。

macOS 安全研究人员Patrick Wardle说，苹果新M1 芯片的设计要求开发者开发新版本的APP 来获得更好的性能和适配性，与此同时，恶意软件作者也采取了类似的措施来构建恶意软件，以达到在苹果最新的M1 芯片上执行恶意软件的目的。

该恶意软件是一个名为GoSearch22的Safari 广告恶意软件扩展，原来是运行在Intel x86芯片上，后来被迁移到了基于ARM的M1 芯片上。该恶意软件是Pirrit 广告恶意软件的变种，最早出现在2020年11月23日，恶意样本上传到VirusTotal 的时间为12月27日。

研究人员经过分析确认了恶意软件开发者实际上开发了多架构的应用，所以其代码可以在M1 芯片系统上运行。恶意GoSearch22 应用应该是首个适配M1 芯片的恶意软件样本。

使用M1 芯片的Mac 设备在运行x86 软件时需要动态二进制翻译器Rosetta 的帮助，这不仅可以提升效率，还可以绕过对恶意软件的检测。

Pirrit是一个驻留的mac 恶意软件家族，最早出现在2016年，会向用户推送欺骗性的广告，用户点击后会下载和安装包含有信息收集功能的app。

GoSearch22 广告恶意软件是经过多重混淆的，会将自己伪装为合法的Safari 浏览器扩展，实际上会收集浏览数据并展示大量的广告，此外还会展示其他恶意软件的链接来分发恶意软件。

该扩展使用苹果开发者ID "hongsheng_yan"来签名，进一步隐藏了恶意内容，由于该ID 已经被吊销，也就是说该应用无法在macOS 上在运行，除非用另外一个证书对其再次签名。

GoSearch22 恶意软件的功能并不是全新的，也不是很危险，但是这是首个适配M1 芯片的恶意软件，这表明未来会有更多的攻击最新版本M1芯片 mac的恶意软件出现。

此外，研究人员还称，现有静态分析工具和反病毒引擎对arm64 二进制文件的检测能力非常有限，与Intel x86_64版本相比，准确率下降了15%。

完整技术分析参见：https://objective-see.com/blog/blog_0x62.html