Buzz
“Điều này cho thấy rằng các tác giả malware đang tiến triển và điều chỉnh để theo kịp với phần cứng và phần mềm mới nhất của Apple,” nói Wardle, người cũng phát triển các công cụ an ninh Mac mã nguồn mở. “Theo như tôi biết, đây là lần đầu tiên chúng ta thấy điều này.”
Các nhà nghiên cứu từ công ty an ninh Red Canary cho biết họ đang điều tra một ví dụ về phần mềm độc hại M1 native mà có vẻ khác biệt so với những phát hiện của Wardle.
Với việc chip ARM của Apple là tương lai của các bộ xử lý Mac, không tránh khỏi rằng tác giả malware sẽ cuối cùng bắt đầu viết mã chỉ dành cho chúng. Ai đó đã tải lên phần mềm quảng cáo được tùy chỉnh lên nền tảng kiểm tra antivirus VirusTotal vào cuối tháng 12, chưa đầy một tháng sau khi laptop M1 được gửi đi. Nhiều nhà nghiên cứu và tổ chức thường xuyên tải lên mẫu malware lên VirusTotal tự động hoặc theo tình thế. Mẫu quảng cáo mà Wardle tìm thấy đó sử dụng chiến thuật tiêu biểu của việc giả mạo thành một tiện ích mở rộng Safari chính thức sau đó thu thập dữ liệu người dùng và phục vụ quảng cáo phi pháp như banner và cửa sổ popup, bao gồm cả những liên kết đến các trang web độc hại khác.
Apple từ chối bình luận về phát hiện này. Wardle nói rằng quảng cáo này được ký bằng một ID nhà phát triển Apple, một tài khoản trả phí cho phép Apple theo dõi tất cả các nhà phát triển trên Mac và iOS, vào ngày 23 tháng 11. Công ty sau đó đã thu hồi chứng chỉ GoSearch22.
Nhà nghiên cứu an ninh Mac của Malwarebytes, Thomas Reed, đồng ý với đánh giá của Wardle rằng phần mềm quảng cáo không có gì mới lạ. Nhưng ông thêm vào rằng quan trọng cho các nhà nghiên cứu an ninh phải nhận thức rằng phần mềm độc hại M1 native không chỉ đang đến, mà đã xuất hiện.
“Điều đó chắc chắn là không thể tránh khỏi - biên soạn cho M1 có thể dễ dàng như việc bật một công tắc trong cài đặt dự án,” Reed nói. “Và thật sự, tôi hoàn toàn không ngạc nhiên vì điều đó xảy ra đầu tiên ở Pirrit. Đó là một trong những gia đình quảng cáo Mac hoạt động nhất và lâu đời nhất, và chúng liên tục thay đổi để tránh phát hiện.”
Tiện ích mở rộng Safari độc hại thực sự có một số tính năng chống phân tích, bao gồm logic để cố gắng tránh các công cụ gỡ lỗi. Nhưng Wardle phát hiện rằng trong khi bộ quét antivirus của VirusTotal dễ dàng phát hiện phiên bản x86 của phần mềm quảng cáo là độc hại, có một sự giảm 15% trong việc phát hiện phiên bản M1.
“Một số công cụ phòng thủ như động cơ antivirus gặp khó khăn trong việc xử lý định dạng tệp nhị phân 'mới' này,” Wardle nói. “Họ có thể dễ dàng phát hiện phiên bản Intel-x86, nhưng lại không thể phát hiện phiên bản ARM-M1, mặc dù mã nguồn là logic tương tự nhau.”
Nhóm nghiên cứu của Red Canary nhấn mạnh rằng thường có một độ trễ trong tỷ lệ phát hiện khi antivirus và các công cụ theo dõi khác thu thập “chữ ký,” hoặc dấu vết số, cho các loại malware mới.
“Xem malware chuyển từ Intel sang M1 một cách nhanh chóng là một vấn đề lo lắng, vì các công cụ bảo mật chưa sẵn sàng để xử lý nó,” nói Tony Lambert, một nhà phân tích tình báo của Red Canary. “Cộng đồng an ninh chưa có chữ ký để phát hiện những mối đe doạ này, vì chúng chưa được quan sát.”
Lambert thêm vào đó rằng việc thêm khả năng phát hiện cho các nền tảng mới như M1 có thể là quá trình tinh tế.
“M1 mới chỉ vài tháng tuổi, và các nhà cung cấp bảo mật phải phát triển phần mềm một cách cẩn thận vì họ không thể chấp nhận việc công cụ làm hỏng hệ thống của khách hàng,” Lambert nói. “Các nhà cung cấp bảo mật thường đuối sức một chút cho đến khi phần mềm của họ có một bản ghi chấp nhận được đối với các thay đổi công nghệ mới.”
Hiện tại, phần mềm độc hại M1 native mà các nhà nghiên cứu đã tìm thấy có vẻ không phải là mối đe dọa nguy hiểm đến tuyệt vời. Nhưng sự xuất hiện của những biến thể mới này là một cảnh báo rằng còn nhiều điều đang đến - và các công cụ phát hiện cần phải vượt qua khoảng cách để sẵn sàng.
Nhiều bài viết tuyệt vời khác từ Mytour
- 📩 Những thông tin mới nhất về công nghệ, khoa học và nhiều hơn nữa: Nhận bản tin của chúng tôi!
- Cơ thể bạn, chính bạn, bác sĩ của bạn, Instagram của anh ấy
- Lịch sử chưa kể về thị trường zero-day của Mỹ
- Làm thế nào để có một cuộc trò chuyện video có ý nghĩa … với chó của bạn
- Tất cả các biến thể virus đều cần có tên mã mới
- Hai con đường cho tiểu thuyết cực kỳ trực tuyến
- 🎮 Mytour Games: Nhận các mẹo, đánh giá và nhiều hơn nữa
- 🎧 Âm thanh không nghe đúng? Kiểm tra tai nghe không dây, thanh âm và loa Bluetooth yêu thích của chúng tôi
